Productos

Soluciones

Formación

Servicios y soporte

Partners

Empresa

{{search ? 'Cerrar':'Buscar'}}

Los componentes de código abierto no reciben la atención de seguridad adecuada, según un nuevo estudio

Pese a los riesgos por exposición de vulnerabilidades como en el caso Wannacry, menos del 25% de los desarrolladores prueban los componentes en busca de vulnerabilidades en cada versión

Barcelona, ​​14 de junio de 2018.- CA Veracode, parte de la oferta de seguridad de CA Technologies (NASDAQ: CA), ha presentado nuevos datos que arrojan luz sobre la discrepancia entre la seguridad y el adecuado control de los componentes. Según un estudio llevado a cabo con la firma Vanson Bourne, solo el 52% de los desarrolladores que usan componentes comerciales o de código abierto en sus aplicaciones actualizan esos componentes cuando se anuncia una nueva vulnerabilidad de seguridad. Esto resalta la falta de concienciación sobre la seguridad en las organizaciones y las expone al riesgo de una brecha de seguridad.

Los procesos de desarrollo de software como DevSecOps han ayudado a mejorar la seguridad del código que escriben los programadores. Sin embargo, en esos mismos procesos de desarrollo se valora la velocidad y la eficiencia para mantenerse al día y poder satisfacer las demandas de la economía de las aplicaciones. Como resultado, los desarrolladores hacen uso de componentes que utilizan características y funcionalidades de proyectos y bibliotecas existentes. El estudio muestra que el 83% de los encuestados usa componentes comerciales o de código abierto, o ambos, con un promedio de 73 componentes por aplicación.

Si bien los componentes aumentan la eficiencia de los desarrolladores, y su uso se considera una buena práctica, estos componentes presentan riesgos de seguridad inherentes. A pesar de encontrar un promedio de 71 vulnerabilidades por aplicación introducidas a través del uso de componentes de terceros, solo el 23% de los encuestados realizaron pruebas de vulnerabilidades en los componentes en cada versión. Esto puede ser el resultado de que solo el 71 % de las organizaciones declaran contar con un programa formal de seguridad de aplicaciones (AppSec).

Además, solo el 53 % de las organizaciones mantiene un inventario de todos los componentes en sus aplicaciones. De acuerdo con el Informe de seguridad del estado de software 2017, menos del 28% de las compañías hacen un análisis regular de composición para saber qué componentes forman parte de sus aplicaciones.

“A los desarrolladores les preocupa crear código de calidad, y eso significa crear código seguro”, indica Pete Chestna, director de relación con los desarrolladores, CA Veracode. “Para tener éxito, los desarrolladores han de conocer claramente las políticas de seguridad y deben disponer de las herramientas para medirlas. Cuando el objetivo está claro y les damos acceso a esas herramientas, son capaces de integrar el escaneo en las primeras fases del ciclo de vida de desarrollo del software y pueden tomar decisiones informadas que tienen en cuenta la seguridad. Gracias a ello, estamos viendo una importante mejora en el desarrollo de software seguro y en los productos resultantes”.

El estudio también muestra que el 44% de los equipos de desarrollo y el 31% de los de seguridad son, con más probabilidad, los responsables del mantenimiento de componentes de código abierto y comercial de terceros, lo que sugiere un movimiento hacia mayor responsabilidad del equipo de desarrollo. A medida que aumenta el conocimiento sobre los riesgos del código abierto, proporcionar a los desarrolladores las soluciones, la visibilidad y la formación para mitigar esos riesgos se convierte en un elemento clave de desarrollo en el ámbito de una fábrica de software moderna para poder construir aplicaciones mejores, más seguras y de forma más rápida.

Para leer el informe completo haga clic aquí.

Para saber más sobre la solución de análisis de composición del software de CA Veracode haga clic aquí.

Metodología

En el estudio realizado por Vanson Bourne a petición de CA Veracode se encuestó a 400 desarrolladores de aplicaciones de Alemania, Estados Unidos y Gran Bretaña para comprender la madurez de las organizaciones en cuanto a la seguridad de los componentes de software. Las encuestas se llevaron a cabo online durante el mes de febrero de 2018.

Acerca de CA Veracode

Veracode, la unidad de negocio de seguridad de las aplicaciones de CA Technologies es líder en ayudar a las organizaciones a asegurar el software que impulsa el mundo. La plataforma SaaS de Veracode y sus soluciones integradas ayudan a los equipos de seguridad y desarrolladores de software a encontrar y corregir los defectos relacionados con la seguridad en todos los puntos del ciclo de vida del desarrollo del software, antes de que puedan ser explotados por hackers. Su completo conjunto de soluciones ayuda a los clientes a reducir el riesgo de brechas de datos, aumentar la velocidad de entrega de software seguro, satisfacer los requisitos de cumplimiento y proteger de manera rentable sus activos de software, tanto si se trata de software que fabrican, compran o venden.

Veracode ofrece servicio a miles de clientes de una amplia gama de sectores, entre los que se cuentan un tercio de las empresas del ranking Fortune 100, tres de los cuatro principales bancos comerciales estadounidenses y más de 20 marcas incluidas por Forbes en su lista 100 Most Valuable Brands. Más información en www.veracode.com, en el blog, en Twitter y en la Comunidad CA Veracode.

Press Contacts

Agnès Herrero

CA Technologies
Teléfono: 93 492 75 00

ACERCA DE CA TECHNOLOGIES

CA Technologies (NASDAQ: CA) crea software que potencia la transformación de las empresas y les permite aprovechar las oportunidades de la economía de las aplicaciones. El software está en el núcleo de todos los negocios en todos los sectores. Desde la planificación hasta el desarrollo, la gestión y la seguridad, CA está trabajando con compañías de todo el mundo para transformar la forma en que vivimos, realizamos transacciones y nos comunicamos, en entornos móviles, de nubes privadas o públicas, distribuidos y mainframe. Para saber más acerca de CA Technologies, visite www.ca.com/es.

Síganos en Twitter: http://twitter.com/CA_Iberia.

AVISOS LEGALES

Copyright © 2018 CA, Inc. Todos los derechos reservados. Todas las marcas registradas, marcas comerciales, marcas de servicios y logotipos a los que aquí se hace referencia pertenecen a sus respectivas compañías.

 

Siga a CA Technologies

Highlight – CA Technologies Blog

The world of enterprise IT is changing, fast. Keep up.

Contacto
800 900 520
Contáctenos