Las vulnerabilidades en proyectos populares de código abierto se duplicaron en 2019



Las vulnerabilidades en proyectos populares de código abierto se duplicaron en 2019 Las vulnerabilidades de Jenkins y MySQL han sido las más vulnerables en los últimos cinco años. Un estudio que analizó los 54 principales proyectos de código abierto descubrió que las vulnerabilidades de seguridad en estas herramientas se duplicaron en 2019, pasando de 421 errores reportados en 2018 a 968 el año pasado. Según el informe "La realidad oscura del código abierto" de RiskSense, publicado hoy, la compañía encontró 2,694 errores reportados en proyectos populares de código abierto entre 2015 y marzo de 2020.
El informe no incluyó proyectos como Linux, WordPress, Drupal y otras herramientas gratuitas súper populares, ya que estos proyectos a menudo se supervisan y los errores de seguridad son noticia, lo que garantiza que la mayoría de estos problemas de seguridad se reparen con bastante rapidez. En cambio, RiskSense analizó otros proyectos populares de código abierto que no son tan conocidos pero que la comunidad de tecnología y software adopta ampliamente. Esto incluyó herramientas como Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Spark, Puppet y otros.
RiskSense dice que uno de los principales problemas que encontraron durante su estudio fue que una gran cantidad de los errores de seguridad que analizaron habían sido reportados a la Base Nacional de Datos de Vulnerabilidad (NVD) muchas semanas después de haber sido divulgados públicamente. La compañía dijo que, por lo general, demoraba alrededor de 54 días para que los errores encontrados en estos 54 proyectos se informaran al NVD, con PostgreSQL viendo retrasos en los informes que ascendieron a ocho meses. Imagen: RiskSense Dado que las compañías de ciberseguridad y software de TI usan la base de datos NVD para crear y enviar alertas de seguridad, las demoras en la presentación de informes dieron como resultado situaciones en las que las compañías permanecieron expuestas y abiertas a ataques.
También permitió a los actores de amenazas crear y desplegar exploits, lo que resultó en la "armamentización" de un error de seguridad. RiskSense dice que de todos los 54 proyectos que analizó, el servidor de automatización Jenkins y el servidor de base de datos MySQL tuvieron las vulnerabilidades más armadas desde 2015, ambos con 15. Imagen: RiskSense "Sin embargo, un gran número de CVE no necesariamente se traduce en cantidades igualmente grandes de vulnerabilidades armadas", dijo RiskSense.
Mientras que otros proyectos de código abierto tenían menos errores, esos errores a veces eran más fáciles de armar, como el caso del software de virtualización Vagrant y el sistema de gestión de contenido Alfresco. Imagen: RiskSense Con los proyectos de código abierto que ahora forman parte de aproximadamente el 99% de todos los proyectos de software comercial, RiskSense argumenta que ahora se necesitan mejoras en la forma en que se manejan las vulnerabilidades de seguridad dentro de los proyectos de código abierto, pero también en la industria en general. Esto es más importante que nunca ahora porque "los proyectos de código abierto están generando nuevas vulnerabilidades a un ritmo históricamente rápido". Mostrar comentarios Revise nuestros términos de servicio para completar su suscripción al boletín. Al registrarse, acepta los Términos de uso y reconoce las prácticas de datos descritas en la Política de privacidad. También recibirá una suscripción gratuita a los boletines informativos ZDNet's Tech Update Today y ZDNet Announcement.
Puede darse de baja de estos boletines en cualquier momento. Usted acepta recibir actualizaciones, alertas y promociones de la familia de compañías de CBS, incluidos los boletines de noticias de ZDNet Tech Update Today y ZDNet Announcement. Puede darse de baja en cualquier momento.
Al suscribirse, acepta recibir los boletines seleccionados de los que puede darse de baja en cualquier momento. También acepta los Términos de uso y reconoce la recopilación de datos y las prácticas de uso descritas en nuestra Política de privacidad. Seguir Boletines informativos ver ver.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı