Software de código abierto tarda mucho más en corregir vulnerabilidades

El software de código abierto cada vez está ganando más adeptos, incluso Microsoft se ha ‘rendido’ a este. Lo bueno del software Open Source es que podemos ver y analizar el código y saber qué hace. El software propietario no permite esto y podría esconder herramientas de monitorización que invaden la privacidad. Aunque el software libre tiene un problema: la seguridad.
RiskSense ha analizado 54 proyectos importantes de código abierto para ver si estos son seguros contra vulnerabilidades. En el informe “La realidad oscura del código abierto” indican que la cantidad de vulnerabilidades de seguridad se ha duplicado en un año. En 2018 existían un total de 421 errores reportados, mientras que en 2019 existían 968 errores reportados.
- TDP/TDP predeterminado: 65W
- Numero de núcleos de cpu: 6
- Reloj de aumento máx.: Hasta 4.2GHz
- Solución térmica (MPK): Wraith Stealth
- Versión de PCI Express: PCIe 4.0 x16
Preocupante aumento de las vulnerabilidad en el software de código abierto
La compañía RiskSense indica que entre 2015 y marzo de 2020 se han reportado 2.694 vulnerabilidades. Esto es un riesgo potencial en el mundo del software de código abierto, con protocolos de corrección que serían más lentos.
Hay que destacar que el software analizado no incluye proyectos como Linux, WordPress, Drupal y otras herramientas Open Source de gran popularidad. Esto se debe a que estos proyectos, cuando se detecta una vulnerabilidad, se corrige muy rápidamente. Existe una gran monitorización y muchos desarrolladores apoyándolas. Pero otro aspecto es que todos los errores de seguridad se convierten en noticia, obligando también a una actuación rápida.
Se han analizado otros proyectos de código abierto, quizá no tan conocidos, pero sí que son muy usados por la comunidad. RiskSense ha analizado herramientas como Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Puppet y otro software de código abierto.
El principal problema que se han encontrado es que los reportes a la Base de Datos Nacional de Vulnerabilidades (NVD) se hace muchas semanas después de ser divulgados públicamente. RiskSense indica que se tarda una media de 54 días en reportar los errores a la NVD, en los proyectos analizados. También han detectado que los informes de PostgreSQL se puede demorar hasta 8 meses.
Fuente: Fudzilla
Cómo jugar al FUD con el título de la nota, para luego aclarar en el artículo que:
«Hay que destacar que el software analizado no incluye proyectos como Linux, WordPress, Drupal y otras herramientas Open Source de gran popularidad. Esto se debe a que estos proyectos, cuando se detecta una vulnerabilidad, se corrige muy rápidamente. Existe una gran monitorización y muchos desarrolladores apoyándolas. Pero otro aspecto es que todos los errores de seguridad se convierten en noticia, obligando también a una actuación rápida.»