Los desarrolladores de todo el mundo dependen de componentes de código abierto para construir sus productos de software. Según las estimaciones de la industria, los componentes de código abierto representan el 60-80% de la base de código en las aplicaciones modernas.La colaboración en proyectos de código abierto en toda la comunidad produce un código más sólido, eliminando los errores y detectando las vulnerabilidades que afectan la seguridad de las organizaciones que buscan componentes de código abierto como la clave para el éxito de la creación de aplicaciones.
Gracias en parte a los "miles de globos oculares" de la comunidad, el número de vulnerabilidades reportadas en proyectos de código abierto está aumentando, con un aumento del 51% en 2017 respecto al año anterior.
Esto es aún más preocupante ya que, como se muestra en el mismo estudio, la mayoría de las vulnerabilidades se encuentran en proyectos populares. Los datos muestran que el 32% de los 100 principales proyectos de código abierto tienen al menos una vulnerabilidad, lo que significa que los desarrolladores tienen mucho trabajo por hacer, sin importar qué componentes estén usando en sus productos.
Si bien es mejor saber acerca de las vulnerabilidades que permanecen en la oscuridad, darles a los equipos la oportunidad de parchear antes de ser explotados por piratas informáticos, mantenerse al día con la carga de trabajo de remediación de componentes vulnerables puede representar un desafío importante para las organizaciones.
La respuesta parece abarcar el modelo de cambio a la izquierda que durante mucho tiempo se ha asociado con DevOps, extendiendo el enfoque para incorporar prácticas de seguridad al principio del ciclo de vida del desarrollo de software.
La seguridad comienza con los desarrolladores, desde su creación del código hasta las soluciones posteriores a la implementación, donde la solución de vulnerabilidades puede llevar mucho tiempo.
De acuerdo con nuestra reciente encuesta sobre los desafíos que enfrentan los desarrolladores en el uso de código abierto, los encuestados informaron que pasan un promedio de 15 horas al mes para hacer frente a las vulnerabilidades de código abierto.
Si bien en sí mismo fue una parte significativa del tiempo, lo sorprendente fue que solo 3.8 de estas horas realmente se destinaron a la tarea de remediar las vulnerabilidades, al parecer, el resto del tiempo se dedicó a comprender dónde comenzar a abordar las vulnerabilidades.
Abordar el desafío de encontrar y arreglar componentes de código abierto vulnerables
Idealmente, los desarrolladores deberían poder saber desde el principio en su proceso si un componente que quieren usar para su producto tiene vulnerabilidades conocidas asociadas antes de que lo confirmen en su código.Al detectar problemas antes de que se conviertan en parte del producto, los desarrolladores pueden ahorrarse un montón de tiempo que, de lo contrario, se gastaría antes de un lanzamiento, intercambiar el componente vulnerable y reconfigurar su producto que se ha construido sobre el componente riesgoso.
Teniendo en cuenta el uso generalizado de componentes de código abierto y el aumento exponencial en el número de vulnerabilidades de código abierto divulgadas, realizar estas comprobaciones de vulnerabilidades conocidas de forma manual no es una opción viable, especialmente cuando los desarrolladores esperan seguir un programa sin comprometer la seguridad.
Lo que necesitan son herramientas automatizadas, respaldadas por bases de datos integrales de vulnerabilidades conocidas, que puedan identificar rápidamente qué componentes de código abierto se están utilizando y mostrar al desarrollador de un vistazo si tienen algún problema con el cual lidiar antes de hacer su esfuerzo.
Presentamos WhiteSource Bolt para GitHub
WhiteSource ha lanzado una herramienta gratuita para simplificar el trabajo con código abierto para desarrolladores. WhiteSource Bolt es una aplicación en el mercado de GitHub que puede alertar sobre componentes vulnerables de código abierto en sus repositorios en tiempo real, proporcionar información detallada e incluso sugerir soluciones.Esta nueva oferta ayuda a los desarrolladores a utilizar componentes de código abierto mejores y más seguros desde las primeras etapas de la codificación y, lo que es más importante, proporciona alertas de seguridad al entorno en el que los desarrolladores trabajan realmente: GitHub.
La aplicación escanea repositorios públicos y privados para identificar componentes de código abierto con vulnerabilidades conocidas. Las alertas de seguridad generan automáticamente problemas en GitHub en los que el usuario puede ver detalles importantes, como las referencias del CVE, su calificación de CVSS, una solución sugerida y otra información que puede ayudarlo a planificar sus soluciones.
Incluso hay una opción para asignar la vulnerabilidad a otro miembro del equipo mediante la función de hitos.
Para la mayoría de los desarrolladores, GitHub es el primer lugar al que acudir cuando busca una solución a un problema, proporcionándoles la biblioteca o el marco adecuado para realizar el trabajo.
Con Bolt for GitHub, WhiteSource ofrece a los desarrolladores la versión reducida de nuestro producto de nivel empresarial de forma gratuita, lo que facilita el trabajo seguro de los desarrolladores.
Al ofrecer esta herramienta gratuita para desarrolladores en GitHub, WhiteSource espera simplificar la seguridad de código abierto, integrándola en el flujo de trabajo que ya es una parte instintiva de cómo los desarrolladores escriben el código.
Al integrarse directamente en la plataforma de GitHub, los desarrolladores pueden garantizar la seguridad de sus productos sin tener que abandonar la página.
Para comenzar con esta herramienta gratuita, siga este enlace para descargar la aplicación.
¿Tienes algo que decir sobre este artículo? Dejanos tu comentario a continuación o puedes compartirlo con nosotros en Facebook, Twitter o en nuestro grupo de LinkedIn.
Recuerda suscribirte:
Obtenga nuestro boletín de noticias diario | Suscríbete gratuitamente SUSCRIBIRSE
Comentarios
Disqus comments:
Facebook comments: