Software

Software de código abierto tarda mucho más en corregir vulnerabilidades

El software de código abierto cada vez está ganando más adeptos, incluso Microsoft se ha ‘rendido’ a este. Lo bueno del software Open Source es que podemos ver y analizar el código y saber qué hace. El software propietario no permite esto y podría esconder herramientas de monitorización que invaden la privacidad. Aunque el software libre tiene un problema: la seguridad.

RiskSense ha analizado 54 proyectos importantes de código abierto para ver si estos son seguros contra vulnerabilidades. En el informe “La realidad oscura del código abierto” indican que la cantidad de vulnerabilidades de seguridad se ha duplicado en un año. En 2018 existían un total de 421 errores reportados, mientras que en 2019 existían 968 errores reportados.

AMD Ryzen 5 3600, Procesador con Disipador de Calor Wraith Stealth (35 MB, 6 Núcleos, Velocidad de 4.2 GHz, 65W)
  • TDP/TDP predeterminado: 65W
  • Numero de núcleos de cpu: 6
  • Reloj de aumento máx.: Hasta 4.2GHz
  • Solución térmica (MPK): Wraith Stealth
  • Versión de PCI Express: PCIe 4.0 x16

Preocupante aumento de las vulnerabilidad en el software de código abierto

La compañía RiskSense indica que entre 2015 y marzo de 2020 se han reportado 2.694 vulnerabilidades. Esto es un riesgo potencial en el mundo del software de código abierto, con protocolos de corrección que serían más lentos.

Hay que destacar que el software analizado no incluye proyectos como Linux, WordPress, Drupal y otras herramientas Open Source de gran popularidad. Esto se debe a que estos proyectos, cuando se detecta una vulnerabilidad, se corrige muy rápidamente. Existe una gran monitorización y muchos desarrolladores apoyándolas. Pero otro aspecto es que todos los errores de seguridad se convierten en noticia, obligando también a una actuación rápida.

Se han analizado otros proyectos de código abierto, quizá no tan conocidos, pero sí que son muy usados por la comunidad. RiskSense ha analizado herramientas como Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Puppet y otro software de código abierto.

El principal problema que se han encontrado es que los reportes a la Base de Datos Nacional de Vulnerabilidades (NVD) se hace muchas semanas después de ser divulgados públicamente. RiskSense indica que se tarda una media de 54 días en reportar los errores a la NVD, en los proyectos analizados. También han detectado que los informes de PostgreSQL se puede demorar hasta 8 meses. 

Fuente: Fudzilla

Mostrar más

Roberto Solé

Director de Contenidos y Redacción de esta misma web, técnico en sistemas de generación de energía renovables y técnico electricista de baja tensión. Trabajo delante de un PC, en mi tiempo libre estoy delante de un PC y cuando salgo de casa estoy pegado a la pantalla de mi smartphone. Cada mañana cuando me levanto cruzo el Stargate para hacerme un café y empezar a ver vídeos de YouTube. Una vez vi un dragón... ¿o era un Dragonite?

Publicaciones relacionadas

2 comentarios

  1. Cómo jugar al FUD con el título de la nota, para luego aclarar en el artículo que:
    «Hay que destacar que el software analizado no incluye proyectos como Linux, WordPress, Drupal y otras herramientas Open Source de gran popularidad. Esto se debe a que estos proyectos, cuando se detecta una vulnerabilidad, se corrige muy rápidamente. Existe una gran monitorización y muchos desarrolladores apoyándolas. Pero otro aspecto es que todos los errores de seguridad se convierten en noticia, obligando también a una actuación rápida.»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar

Bloqueador de anuncios detectado

Este sitio se financia mediante el uso de publicidad, miramos en todo momento que la misma no sea demasiado intrusiva para el lector y priorizamos la experiencia del mismo en la web. Pero si bloquea los anuncios, parte de nuestra financiación se verá mermada.