0
0
Uma nova pesquisa do Endor Labs oferece uma visão do uso desenfreado, mas muitas vezes não monitorado, do software de código aberto existente no desenvolvimento de aplicativos e dos perigos decorrentes dessa prática comum.
Vulnerabilidades de código aberto
Como apenas um exemplo, a pesquisa revela que 95% de todas as vulnerabilidades são encontradas em dependências transitivas – pacotes de código-fonte aberto que os desenvolvedores não selecionam, mas são indiretamente inseridos nos projetos.
Este é o primeiro relatório do Station 9, um recurso de pesquisa desenvolvido pela Endor Labs que reúne pesquisadores, acadêmicos e líderes de pensamento de todo o mundo.
“Nesse ambiente, o software de código aberto é a espinha dorsal de nossa infraestrutura crítica – mas até mesmo desenvolvedores e executivos veteranos ficam surpresos ao saber que 80% do código em aplicativos modernos vem de OSS existente”, disse Varun Badhwar , CEO da Endor Labs.
“Esta é uma arena enorme, mas tem sido amplamente negligenciada. Para que a reutilização do código-fonte aberto atinja seu potencial, a segurança precisa passar para o topo da lista de prioridades”, acrescentou Badhwar.
O problema não é necessariamente o uso generalizado do código-fonte aberto existente em novos aplicativos; é que apenas uma pequena amostra dessas dependências de software é realmente selecionada pelos desenvolvedores envolvidos.
O restante é “transitivo” ou dependências indiretas automaticamente puxadas para a base de código. Isso prepara o terreno para vulnerabilidades, potenciais e identificáveis, afetando os mundos da segurança e do desenvolvimento em igual medida.
Principais descobertas do relatório
Entre outras descobertas, o relatório revela:
- A grande maioria de todas as vulnerabilidades, 95%, são de fato encontradas em dependências transitivas, tornando muito difícil para os desenvolvedores avaliar o verdadeiro impacto desses problemas ou se eles são alcançáveis.
- Uma comparação entre as duas iniciativas comunitárias mais populares para identificar projetos críticos – Census II e OpenSSF Criticality Scores – revela que determinar a criticidade está longe de ser simples. De fato, 75% das embalagens do Censo II têm Criticidade inferior a 0,64; as organizações precisam decidir por si mesmas quais projetos de código aberto são críticos.
- A confusão de dependências tem sido um grande benefício para os bandidos nos recentes ataques à cadeia de suprimentos. Ao mesmo tempo, os indicadores de risco cobertos em iniciativas amplamente utilizadas normalmente não podem sinalizar esses ataques.
- Problemas à frente – 50% dos pacotes mais usados do Census II não tiveram um lançamento em 2022 e 30% tiveram seu último lançamento antes de 2018 – isso pode causar sérios problemas operacionais e de segurança no futuro.
- Novo não significa seguro – Ao atualizar para a versão mais recente de um pacote, ainda há 32% de chance de ele ter vulnerabilidades conhecidas.
- A acessibilidade é o critério mais importante ao priorizar; fazê-lo com base apenas em métricas de segurança (como pontuações CVSS) ou ignorar vulnerabilidades em dependências de teste reduz apenas a probabilidade de uma vulnerabilidade em 20%.
FONTE: HELPNET SECURITY