• Un estudio de CA Veracode señala que sólo el 23% de los componentes de terceros son puestos a prueba en cada etapa de desarrollo del software
• Menos del 30% de las empresas productoras de software realizan análisis regulares sobre la composición de sus productos
• En promedio, se encuentran 71 vulnerabilidades insertadas en las aplicaciones a través de código abierto o soluciones comerciales.

Una investigación realizada por CA Veracode, empresa líder en el mercado de seguridad y adquirida por CA Technologies, encontró que el 48% de los programadores no actualiza las soluciones desarrolladas que utilizan componentes de código abierto o comerciales, incluso cuando el mercado divulga una nueva vulnerabilidad de seguridad. Este y otros datos destacan la falta de concienciación de las organizaciones en seguridad, poniéndolas bajo riesgo.

Nuevas técnicas para el desarrollo de software como DevSecOps, que trabaja con la seguridad desde el comienzo del proceso, mejoran la calidad de los códigos. Esta es una metodología que valora la velocidad y eficiencia para acompañar las demandas del mercado, y hace que los desarrolladores busquen recursos y funcionalidades de proyectos ya existentes. Según la encuesta, el 83% de los entrevistados utilizan, en promedio, 73 componentes de terceros durante la producción de un software.

Según el estudio, aunque los componentes aumentan la eficiencia de los desarrolladores y su uso es recomendado, estos normalmente presentan riesgos de seguridad. Como resultado, a pesar de que el 71% de las compañías afirma tener un programa formal de seguridad de aplicaciones (AppSec), sólo el 23% ponen a prueba las vulnerabilidades de los componentes, y existe una media de 71 vulnerabilidades insertadas por códigos de terceros en cada aplicación.

“Sabemos que los desarrolladores se preocupan por crear un código excelente, y eso significa crear un código seguro”, comenta Pete Chestna, director de compromiso de desarrolladores de CA Veracode. “Sin embargo, para lograr el éxito, los desarrolladores necesitan conocer la política de seguridad y las herramientas de medición. Cuando la meta es clara y damos a los profesionales acceso a estas herramientas, podrán integrar las pruebas desde el comienzo del desarrollo y tomar mejores decisiones, que consideren la seguridad. Con ello, veremos una mejora significativa en la calidad y en los resultados.”

Además, solo el 53% de las organizaciones mantienen un inventario de todos los componentes utilizados en sus aplicaciones. En ese sentido, y de acuerdo con The State of Software Security Report 2017, menos del 28% de las empresas realizan análisis regulares sobre la composición de su software para entender qué componentes están incorporados en sus aplicaciones.

Finalmente, el informe señaló que los equipos de desarrollo (44%) o seguridad (31%) son los principales responsables del mantenimiento de componentes de terceros, lo que aumenta la responsabilidad del equipo de desarrollo. Por lo anterior, es importante conocer los riesgos del código abierto, así como las soluciones que los mitigan como un elemento fundamental del enfoque de desarrollo de la Moderna Fábrica de Software, que ayuda a crear mejores aplicaciones, más seguras y con más rapidez.

Sobre la metodología del estudio

CA Veracode contrató a Vanson Bourne para entrevistar a 400 desarrolladores de aplicaciones de los Estados Unidos (200 encuestados), de Reino Unido (100 encuestados) y de Alemania (100 encuestados) para entender la madurez de la seguridad de los componentes de las organizaciones. El estudio se realizó online en febrero de 2018.