CiberSegurança

Código aberto abandonado aumenta os riscos de segurança de software comercial

Open Source Code

Componentes de código aberto desatualizados ou abandonados são persistentes em praticamente todos os softwares comerciais, colocando em risco aplicativos de empresas e consumidores devido a problemas de segurança, violações de conformidade de licença e ameaças operacionais, de acordo com o Relatório de Análise de Segurança e Riscos da Synopsys 2020, divulgado terça-feira.

Os pesquisadores da Synopsys analisaram mais de 1.250 bases de códigos comerciais. O Synopsys Cybersecurity Research Center (CyRC) examinou as auditorias de base de código realizadas pela equipe dos Serviços de auditoria de pato preto.

O relatório destaca tendências e padrões no uso de código aberto em aplicativos comerciais. Ele fornece idéias e recomendações para ajudar as organizações a gerenciar melhor seus riscos de software. O Relatório OSSRA 2020 reafirma o papel crítico que o código aberto desempenha no atual ecossistema de software.

Efetivamente, 99% das bases de código auditadas no ano passado contêm pelo menos um componente de código aberto, segundo a Synopsys. O código aberto compreendeu 70% do código em geral.

O relatório destaca o uso contínuo e disseminado de componentes de código aberto antigos ou abandonados, com mais de quatro anos de validade ou que não haviam visto atividade de desenvolvimento nos últimos dois anos.

“É difícil descartar o papel vital que o código aberto desempenha no desenvolvimento e implantação modernos de software, mas é fácil ignorar como isso afeta a postura de risco de seu aplicativo de uma perspectiva de segurança e conformidade de licenças”, observou Tim Mackey, principal estrategista de segurança da Synopsys Centro de Pesquisa em Segurança Cibernética.

O relatório OSSRA 2020 destaca como as organizações lutam para rastrear e gerenciar seus riscos de código aberto de forma eficaz, disse ele ao LinuxInsider. Essa luta envolve manter um inventário preciso de componentes de software de terceiros e dependências de código aberto.

“Manter-se atualizado é um ponto de partida importante para lidar com o risco de aplicativos em vários níveis”, afirmou ele.

Principais conclusões

A tendência mais preocupante na análise deste ano é o crescente risco de segurança representado pelo código aberto não gerenciado, de acordo com a Synopsys. As auditorias de código revelaram que 75% das bases de código contêm componentes de código aberto com vulnerabilidades de segurança conhecidas.

Esse número é superior a 60% no relatório do ano passado. Da mesma forma, 49% das bases de código continham vulnerabilidades de alto risco em comparação com 40%.

A taxa crescente de adoção de código aberto aumenta o alarme sobre código de código aberto não gerenciado encontrado em software comercial.

Noventa e nove por cento das bases de código contêm pelo menos alguma fonte aberta, com uma média de 445 componentes de código aberto por base de código, de acordo com o relatório da Syopsys deste ano. Isso representa um aumento significativo em relação aos 298 componentes de código aberto encontrados em 2018. Setenta por cento do código auditado foi identificado como código aberto, um número que aumentou de 60% em 2018 e quase dobrou desde 2015, quando estava em 36%.

Tempos de mudança

O relatório deste ano revela alguns desenvolvimentos inesperados quando comparado à análise do ano passado, indicando bons e maus resultados, segundo Mackey.

“Estamos vendo mudanças nas tendências gerais de segurança, enquanto ao mesmo tempo vemos evidências de que os processos de governança não estão acompanhando o aumento do uso”, afirmou ele.

No lado das boas notícias, este é o primeiro ano em que a auditoria não viu a vulnerabilidade do HeartBleed nos dados subjacentes. Isso sugere que, embora ainda exista uma longa cauda, ​​esforços de refatoração ou simplesmente maior conscientização sobre vulnerabilidades de alto impacto estão dando frutos.

Do lado das más notícias, o aumento de vulnerabilidades não corrigidas com o aumento do uso de código aberto fala da dependência de processos manuais. Isso ocorre em um momento em que as divulgações de vulnerabilidades aumentam devido a autoridades de relatórios adicionais, explicou Mackey.

O resultado líquido é que as empresas sem soluções automatizadas para filtrar CVEs que não poderiam ser aplicadas a elas são forçadas a testar as divulgações que não podem ser exploradas devido à composição do aplicativo ou sistema.

Tendências de risco

Um resumo das tendências de risco de código aberto mais notáveis ​​encontradas nas auditorias de código encontrou o seguinte:

  • Noventa e um por cento das bases de código continham componentes que estavam desatualizados há mais de quatro anos ou que não tinham atividade de desenvolvimento nos últimos dois anos.
  • Além da maior probabilidade de existir vulnerabilidades de segurança, o risco de usar componentes de código aberto desatualizados é que a atualização deles também pode introduzir problemas de funcionalidade ou compatibilidade indesejados.
  • O uso de componentes vulneráveis ​​de código aberto está voltando a subir novamente. Em 2019, a porcentagem de bases de código contendo componentes vulneráveis ​​de código aberto aumentou para 75% depois de cair de 78% para 60% entre 2017 e 2018.
  • Da mesma forma, a porcentagem de bases de código contendo vulnerabilidades de alto risco saltou de 49% em 2018 para 49% em 2019.
  • Nenhuma das bases de código auditadas em 2019 foi afetada pelo infame bug Heartbleed ou pela vulnerabilidade Apache Struts que assombrou o Equifax em 2017.

Ameaça Propriedade Intelectual, Licenciamento

O uso intenso e contínuo de componentes de código aberto não gerenciados também coloca em risco a propriedade intelectual, de acordo com o relatório. Apesar de sua reputação de ser gratuito, o software de código aberto, assim como o código comercial, é regido por uma licença.

Os pesquisadores descobriram que 68% das bases de código continham algum tipo de conflito de licença de código aberto. Trinta e três por cento continham componentes de código aberto sem licença identificável. As vulnerabilidades de segurança são uma grande preocupação, conclui o relatório. Quase metade das bases de código continha vulnerabilidades de alto risco.

Cerca de 73% dessas vulnerabilidades expuseram os proprietários da base de código a possíveis problemas legais. Os componentes de código aberto têm licenças que parecem entrar em conflito com a licença geral da base de código ou que não possuem nenhuma licença. A prevalência de conflitos de licença variou significativamente por setor, de acordo com o relatório.

Esses conflitos variaram de 93% para aplicativos móveis e de Internet a 59% para realidade virtual, jogos, entretenimento e aplicativos de mídia.

Sobre o Relatório

Esta é a quinta edição do Relatório de análise de risco e segurança de código aberto da Synopsys. Ele fornece um instantâneo detalhado do estado atual dos riscos de segurança de código aberto, conformidade e qualidade de código em software comercial.

Seus resultados são baseados nos dados anonimizados revisados ​​pelas equipes de serviços de auditoria de código aberto da Synopsys em 2019. Para os fins desta auditoria de código, a Synopsys definiu uma base de código como o código-fonte e as bibliotecas subjacentes a um aplicativo, serviço ou biblioteca.

Os pesquisadores definiram o software gerenciado como a fonte, idade, licenciamento e informações sobre a versão dos componentes de software identificados e rastreados. Os pesquisadores também analisaram atualizações aplicadas ou ausentes e patches de segurança.

Relatório Takeaways

As organizações precisam fazer um trabalho muito melhor mantendo os componentes de código aberto, conclui o relatório OSSRA 2020. Esse código é uma parte crucial do software que eles constroem ou usam.

“Continuamos recomendando que as empresas invistam em automação para criar um inventário preciso, mas a história real é de processo”, disse Mackey. “As equipes de desenvolvimento, TI corporativa e jurídica corporativa precisam definir um processo para o uso de código aberto”.

Não é mais aconselhável baixar um componente, pacote ou solução de código aberto e simplesmente usá-lo. Se esse download não for gerenciado adequadamente, ele expõe os negócios ao mesmo nível de desafio de governança que qualquer software comercial, acrescentou.

A principal diferença é que não existe uma entidade comercial para os advogados se apoiarem em uma solução. Esse patch precisará vir da comunidade de código aberto que suporta o componente ou da equipe de desenvolvimento local, que idealmente enviaria sua correção à comunidade.

“De qualquer forma, se o envolvimento da comunidade não faz parte do processo, torna-se muito mais difícil permanecer em um estado compatível com os patches”, disse Mackey.

Segurança pior ou melhor?

O relatório da OSSRA não analisa a segurança geral do software de código aberto, de acordo com Mackey. Em vez disso, analisa o quão bem governado é quando usado em um ambiente comercial.

“Dito isso, realizamos uma análise mais profunda de algumas vulnerabilidades importantes encontradas no conjunto de dados para entender melhor qual é o principal risco”, esclareceu.

A segurança do software de código aberto apresenta novos desafios. É muito comum, quase universal, que software proprietário inclua software de código aberto, de acordo com Thomas Hatch, CTO da SaltStack .

“Também é fundamental lembrar que a versão do software de código aberto incluída no software proprietário pode não ser divulgada ou divulgada de maneira confiável. Rastrear isso se torna quase impossível”, disse ele ao LinuxInsider.

O argumento original para o software de código aberto ser mais seguro era que muitos olhos poderiam trazer mais correções. No entanto, essa afirmação não parecia explicar a expansão moderna de pequenos projetos de código aberto, observou Hatch.

“Hoje existe tanto código-fonte aberto que é cada vez mais difícil auditar. Eu diria que o estado de segurança do software de código-fonte é pior este ano que no ano passado”, disse ele.

Enquanto os principais projetos estão melhorando, o crescimento do cenário geral superou em muito os recursos de rastreamento. Este relatório é muito útil, mas seria ainda mais poderoso como um projeto de descoberta em andamento, disse Hatch.

Útil Não Fútil

A emissão desse tipo de relatório ano após ano serve a um objetivo corretivo real, garantiu Mackey. Quando a empresa iniciou o relatório da OSSRA há cinco anos, havia uma real falta de conscientização entre os líderes empresariais sobre o impacto das atividades de código aberto em suas operações gerais, explicou.

Esse foi o pano de fundo de várias explorações de alto perfil de vulnerabilidades de código aberto. Cinco anos depois, a complexidade dos requisitos regulatórios aumentou junto com o crescimento do código aberto.

O relatório OSSRA é baseado em aplicativos comerciais adquiridos em fusões e aquisições. Os dados subjacentes oferecem uma perspectiva de código aberto que não pode ser obtida a partir de uma pesquisa simples de equipes de desenvolvimento ou outra coleta de dados leve, disse Mackey.

Necessidades de segurança do DevOps

O relatório Synopsys 2020 OSSRA fornece um bom indicador de tendências de alto nível, de acordo com Ali Golshan, CTO da StackRox . No entanto, deve haver muito mais que as empresas consideram na tomada de decisões, principalmente relacionadas à segurança de código aberto.

“Os problemas de risco associados ao código aberto tornaram-se cada vez mais dinâmicos à medida que a adoção de práticas de DevOps em conjunto com soluções de código aberto levou à implantação mais difundida de tecnologias nativas da nuvem”, disse ele ao LinuxInsider.

A superfície geral do ataque está mudando substancialmente no espaço nativo da nuvem – de explorações tradicionais e ataques em tempo de execução a um foco na maior superfície de ataque exposta ao longo do processo de criação, observou Golshan.

O uso de tecnologias nativas da nuvem ao lado de componentes de código aberto pode ser vantajoso do ponto de vista operacional e desafiador do ponto de vista da segurança, alertou. “Relatórios como o da Synopsys devem ser considerados um bom lembrete para examinar mais de perto como proteger o processo de criação”.



Não deixe de acompanhar todas as notícias diárias sobre  tecnologia, filmes, séries e games do SENASNERDAproveite também para curtir a nossa página no facebook, além de nos seguir no twitter e instagram.

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado.

Botão Voltar ao Topo