04 diciembre 2013

Riesgos de seguridad de software Open Source en proyectos comerciales

White Source es una empresa que posee un producto (de pago) que permite gestionar para tu proyecto software todas tus dependencias utilizadas que sean de tipo Open Source, permitiendo despreocuparte de tipos de licenciamiento, mantenimiento, posibles impactos en normativas y políticas, etc. Debido a que se mantiene una base de datos, por cada proyecto, de dichas dependencias con software de terceros, han realizado un estudio de seguridad entre todos los productos software de sus clientes con componentes open source.

La muestra utilizada para el estudio contempla más de 2900 proyectos software, y de todos ellos, determinan en base a determinadas pruebas que el 23% de ellos utilizan componentes open source que contienen vulnerabilidades de seguridad conocidas (y no precisamente recientes). De ese 23%, la amplia mayoría de ellos contienen vulnerabilidades categorizadas como de criticidad alta y media. El gran problema es la falta de mantenimiento de los componentes, quedando la mayoría de ellos desactualizados, y para muchos de ellos, las actualizaciones han solucionado graves vulnerabilidades de seguridad.

Adjuntamos la infografía realizada por la empresa encargada del estudio en la que se resumen los datos obtenidos:

Infografía realizada por White Source con los riesgos de seguridad en los proyectos de sus clientes
White Source da a conocer, junto con el estudio sobre sus clientes, el Top 5 de vulnerabilidades de seguridad que más se repiten debido a la no actualización de los componentes open source:
  • CVE-2011-2730: Vulnerabilidad en el framework Spring que permite la obtención de información sensible de forma remota. 
  • CVE-2012-0213: Vulnerabilidad  en Apache POI (API en Java para manipular documentos ofimáticos de Microsoft Office) que podría provocar denegación de servicio.
  • CVE-2011-2894: Vulnerabilidad en Spring que permite evadir restricciones de seguridad y ejecutar código de forma remota.
  • CVE-2009-2625: Vulnerabilidad en Apache Xerces2 que permite, a usuarios remotos, provocar una denegación de servicio en la aplicación.
  • CVE-2013-0248: Vulnerabilidad en el componente Commons FileUpload de Apache que permitiría a usuarios locales sobrescribir ficheros
Lanzamos la pregunta a todos nuestros visitantes desarrolladores o encargados de algún producto software que requiere la utilización de componentes o librerías open source... Al igual que mantenéis vuestro propio producto, ¿realizáis el estudio y mantenimiento del software de terceros para estar actualizado al máximo únicamente cuando aparecen nuevas funcionalidades? Si bien es una práctica típica el estar al tanto de actualizaciones de software relacionadas con la infraestructura, ¿os preocupáis de estar al tanto también de las actualizaciones de seguridad de dichas librerías de terceros?

¡Esperamos vuestros comentarios!

Referencias:
[+] New White Source Study Sheds Light on Open Source Security Risks - White Source
[+] Many Commercial Software Projects Contain Older, Vulnerable Open-Source Code - Darkreading

4 comments :

Ronny Vasquez dijo...

Yo utilizo una buena cantidad de soluciones open source de seguridad y una para gestion de proyectos y helpdesk, siempre estoy pendiente de los releases no solo por los nuevos features sino por los parcheos de bugs, pero si es muy cierto que pocos proyectos tienen el compromiso de hacer releases pero esto es normal ya que la fuente de ingresos de muchos son de los pocos contratos de soporte comercial o de venta de su proyecto en version comercial, no justifica al 100% pero si afecta que tanto tiempo se le invierte a un proyecto, saludos desde Guatemala.

Security By Default dijo...

¡Muchísimas gracias por tu comentario sobre tu caso Ronny!

Fire 489 dijo...

A mi parecer, el título del artículo es muy poco acertado ya que da a entender que por utilizar componentes open source hay mayores riesgos de seguridad, cuando, en la infografía adjunta, pone claramente que los proyecto open source solucionan los problemas tan rápidamente como cualquier otro software y que son los usuarios tardan en actualizarse. El riesgo a que los usuarios no se actualicen a las últimas versiones, yo creo que es exactamente el mismo en un software open source que en uno "privativo".

John dijo...

El hecho que solo los empresas gigantes tengan la posibilidad de comercializar software no debe limitar a otros emprendedores en compartir/reutilizar miles de soluciones de software, mejorarlas y generar muchas otras... es un hecho que el soporte constante es algo que se debe invertir con el open source, pero veo muy bien que nazcan empresas y que puedan especializarse en esta "capa de soporte" para soluciones críticas y así dejar libres a las empresas en continuar su labor diaria....

Por tanto, si una empresa se quiere evitar inversión deberá apostar por otras empresas especializadas en Open Source que otorgen el 100% (24x7) en la especialización en soluciones por las que apuestan..... Creo firmemente que el Open Source es un modelo alternativo y viable en la cual no necesariamente debemos encerrarnos...