¿Es más inseguro el software de código abierto que el propietario?

Un estudio conjunto realizado por las firmas Sonatype y Aspect Security ha abierto la polémica al asegurar que la mayoría de grandes compañías del top-500 de Fortune, utilizan aplicaciones creadas sobre componentes de código abierto (librerías y frameworks) con agujeros de seguridad.

El informe -basado en una encuesta a 2.550 desarrolladores, arquitectos de software y analistas- sostiene que el código abierto “pasa por alto los defectos de los ecosistemas”, principalmente por la falta de un sistema de notificación de alerta a los desarrolladores acerca de las vulnerabilidades y nuevas versiones con correcciones. “El 80% del código en las aplicaciones de hoy en día proviene de bibliotecas y frameworks. El riesgo de las vulnerabilidades de estos componentes es ampliamente ignorado y subestimado”, destacan.

El informe afirma, por ejemplo, que se han registrado 46 millones de descargas de versiones inseguras de las bibliotecas y frameworks de código abierto más populares, como Google Web Toolkit, Spring MVC, Struts 1.X. e Hibernate. Struts 2, que fue descargada más de un millón de veces por 18.000 empresas, contiene una vulnerabilidad crítica.

El estudio también asegura que, sólo el 32 por ciento de las organizaciones “mantienen un inventario de las dependencias en sus aplicaciones de producción, lo que complica la resolución de problemas cuando una nueva vulnerabilidad es descubierta”.

Como no podía ser de otra forma, algunos desarrolladores de primer nivel de código abierto tienen una opinión diferente sobre las principales conclusiones del informe:

“Los números no me sorprenden en absoluto … Es cierto que hay organizaciones que ejecutan software vulnerable (de código abierto y cerrado) sin darse cuenta de lo que están haciendo. No creo que esto sea un problema exclusivo del código abierto, ni que el código abierto sea más inseguro en comparación con el código propietario“, explican desde la dirección de proyectos del Apache Tomcat.

Otros desarrolladores como el fundador del Grupo Olliance van más lejos en su discrepancia: “es lamentable ver este tipo de informe y no estamos de acuerdo con el tono del mismo dando a entender que el código abierto es de baja calidad y arriesgado“. “Todo el software tiene vulnerabilidades, y este estudio no compara el código abierto con otro tipo de software sino que se limita a decir el número de vulerabilidads genéricamente”, explica.

“Ha habido muchos estudios que muestran que el software código abierto es de mayor calidad que el propietario”, indican, en relación al Coverity Scan 2011 Open Source Integrity iniciado en 2006 por el Departamento de Seguridad Nacional estadounidense y la firma Coverity, concluyendo tras analizar millones de líneas de código, que el software Open Source tiene -al menos- la misma calidad que el código propietario.

Fuente: muyseguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -

¿Es más inseguro el software de código abierto que el propietario?

Buscador

Redes Sociales

Laboratorio Linux