Casi 9 de cada 10 aplicaciones Java contienen componentes vulnerables
CA Veracode advierte de que son minoría las compañías que realizan análisis de composición regulares sobre sus aplicaciones.
El informe sobre el estado de la seguridad del software de Veracode para 2017 revela el nivel de riesgo de los componentes de código abierto.
Y es que, según este informe, hasta un 88 % de las aplicaciones Java tiene por lo menos un componente vulnerable. Esto significa que casi 9 de cada 10 aplicaciones Java son susceptibles de recibir un ataque generalizado. De hecho, en el último año ya se habrían producido “numerosas brechas” en aplicaciones de este tipo.
“El uso universal de componentes en el desarrollo de aplicaciones conlleva que cuando se descubre una vulnerabilidad en un componente, dicha vulnerabilidad tiene el potencial de impactar en miles de aplicaciones, haciendo que sean vulnerables con un único exploit“, comenta al respecto Chris Wysopal, CTO de Veracode, compañía propiedad de CA Technologies.
A esto hay que sumar que ni siquiera 3 de cada 10 empresas suelen acometer análisis de composición regulares para ver qué componentes hay en sus aplicaciones.
“Los equipos de desarrollo no van a dejar de usar componentes, ni tampoco deberían hacerlo. Pero cuando un exploit se hace disponible, el tiempo es oro”, dice Wysopal. “Los componentes de código abierto y de terceros no son necesariamente menos seguros que el código desarrollado internamente, pero es importante mantener un inventario actualizado de las versiones que se utilizan de cada componente”.
Este experto explica que “hemos visto ya bastantes brechas como resultado de componentes vulnerables, de modo que a no ser que las compañías empiecen a tomar en serio esta amenaza y utilicen herramientas para controlar el uso de componentes, pienso que el problema se intensificará”.
En estos momentos, la cantidad de aplicaciones que están usando versiones vulnerables es igual al número que se registró en 2016.