Los consumidores de código abierto están descargando alrededor de 1200 millones de dependencias de Java vulnerables conocidas cada mes, y ya sea por falta de atención, ignorancia, estrés y exceso de trabajo u otra cosa, el 96% de estas descargas en riesgo podrían haberse evitado gracias a una versión actualizada o mitigación. estaba disponible.
Eso es de acuerdo con la octava edición Estado de la cadena de suministro de software informe elaborado por el especialista en gestión de la cadena de suministro Sonatype, publicado el 18 de octubre en la DevOps Enterprise Summit en Las Vegas, Nevada.
El último informe de Sonatype pintó una imagen cruda del estado de seguridad en la comunidad de código abierto, señalando lo que diplomáticamente denominó comportamientos de consumo “no óptimos” como la raíz de casi todos los riesgos de código abierto.
Esto contrasta completamente con gran parte de la discusión pública sobre el tema, que con frecuencia asocia el riesgo con aquellos encargados de mantener los recursos de código abierto. Por el contrario, dijo Sonatype, los mantenedores tienden a hacer un trabajo por encima del promedio y generalmente son eficientes en la entrega de soluciones.
“Este sorprendente hallazgo destaca cuán importante es que los equipos de ingeniería continúen con su educación sobre el riesgo de código abierto y adopten la automatización inteligente para respaldar sus esfuerzos”, dijo Brian Fox, CTO y cofundador de Sonatype.
“Los seres humanos son falibles, y la marea abrumadora de inteligencia de dependencia que los desarrolladores deben interpretar en su proceso de desarrollo diario está reñida con priorizar la buena calidad del software.
“La buena noticia es que el informe de este año también muestra que es posible una gestión de dependencia ‘óptima’. Además, a pesar de la continua atención en tratar de ‘arreglar el código abierto’, los datos muestran que los consumidores de código abierto pueden hacer cambios de inmediato que tendrán un profundo impacto en su capacidad para remediar y responder al próximo evento”.
Los hallazgos de Sonatype, que se basan en datos y análisis de más de 131 000 millones de descargas de Maven Central, miles de proyectos de código abierto, una encuesta de profesionales de la ingeniería y la evaluación de 85 000 aplicaciones empresariales, llegan al final de un año que ha visto la la seguridad de las prácticas de desarrollo de código abierto dispara la agenda como un vector clave en los ataques a la cadena de suministro.
Apenas esta semana, se llamó la atención sobre una nueva vulnerabilidad en Apache Commons Text, que podría poner en riesgo a muchos usuarios.
Sonatype dijo que había observado un aumento interanual del 633 % en los ataques maliciosos dirigidos al código abierto en repositorios públicos, lo que equivale a un aumento anual promedio del 742 % en los ataques a la cadena de suministro de software en los últimos tres años.
Entre algunos de los otros hallazgos del informe se encuentran algunas brechas preocupantes entre la percepción y la realidad. Por ejemplo, las organizaciones tienden a pensar que tienen sus cadenas de suministro de software bajo control, pero mientras que el 68 % afirmó que sus aplicaciones no usaban bibliotecas vulnerables conocidas, una muestra aleatoria de aplicaciones empresariales encontró que el 68 % contenía vulnerabilidades conocidas.
Los gerentes en particular tendieron a exagerar la madurez de su organización cuando se trataba de administrar el código abierto de manera efectiva, mientras que las responsabilidades de los desarrolladores continuaron acumulándose, con la aplicación Java promedio que ahora contiene 148 dependencias para vigilar, 20 más que el año pasado. Dado que el proyecto Java promedio se actualiza unas 10 veces al año, esto significa que algunos desarrolladores se ven obligados a realizar un seguimiento de la inteligencia en 1500 cambios de dependencia al año por aplicación.
También señaló que los desarrolladores de organizaciones que demuestran niveles más altos de madurez de la cadena de suministro, por ejemplo, aquellos que usan soluciones automatizadas, tenían casi tres veces más probabilidades de reportar niveles más altos de satisfacción laboral.
“Estos años Estado de la cadena de suministro de software El informe demuestra cómo el código abierto y el desarrollo de software están en constante evolución, y la necesidad imperiosa de evolucionar con él”, dijo Fox.
“Nuestra investigación muestra que la cantidad de dependencias por proyecto de código abierto está creciendo y que estas dependencias son un factor crítico de riesgo. Las organizaciones inmaduras esperan que sus desarrolladores se mantengan al tanto de las preocupaciones sobre el cumplimiento de la licencia, los lanzamientos de múltiples proyectos, los cambios de dependencia y el conocimiento del ecosistema de código abierto junto con sus responsabilidades laborales habituales. Esto se suma a las presiones externas, como la velocidad.
“No sorprende que la satisfacción laboral esté fuertemente vinculada a la madurez de las prácticas de la cadena de suministro de software. Esta realidad aleccionadora demuestra la necesidad inmediata de que las organizaciones prioricen la gestión del suministro de software, para que puedan lidiar mejor con los riesgos de seguridad, aumentar la eficiencia de los desarrolladores y permitir una innovación más rápida”.