Menú de navegaciónMenú
Categorías

La mejor forma de Aprender Programación online y en español www.campusmvp.es

Seguridad del código: el código zombi y cómo te afecta

Imagen ornamental de portada. Un zombi de 8 bits de los 80.

Suscríbete a nuestro podcast. Y mejor aún, a nuestro boletín mensual: todo cosas útiles que no encontrarás en otro lado, una vez al mes.

En el siempre cambiante mundo del desarrollo de software, la seguridad sigue siendo una preocupación fundamental. Sin embargo, en un giro inesperado, un fenómeno oscuro, está comenzando a acechar por los rincones de los códigos fuente de casi todos los programas: el apocalipsis del código zombi.

Este término, acuñado recientemente por los expertos en seguridad de la firma Synopsys, describe la presencia generalizada de componentes obsoletos que llevan años sin actualizarse pero que persisten en los proyectos de código abierto, desatando una ola de vulnerabilidades no parcheadas que acechan en las sombras de nuestros sistemas.

El alcance del problema

Synopsys es una empresa americana que se dedica al diseño de chips y la seguridad de software para industrias de alta tecnología como la de semiconductores, las comunicaciones y la aeroespacial. En su último informe de seguridad de software, revela una situación alarmante: el 91% de los proyectos de código examinados contienen componentes que datan de al menos 10 versiones atrás. Este software arcaico deja a los sistemas expuestos a vulnerabilidades conocidas y explotables que, de otro modo, podrían haberse mitigado con actualizaciones simples y regulares.

Pero el problema va más allá de la obsolescencia. Sorprendentemente, el 49% de estos proyectos OSS analizados han permanecido inactivos durante los últimos dos años, sin recibir ni siquiera el más mínimo ajuste.

Esta falta de atención deja a los sistemas vulnerables ante amenazas emergentes, que podrían aprovecharse de lagunas de seguridad abandonadas durante años.

Esto va más allá de los ataques de infraestructura de código ya que no necesitan crakear ningún repositorio para que el código malicioso llegue a ti. El código vulnerable ya lo tiene tu aplicación, al depender de un proyecto cuya seguridad está obsoleta y las vulnerabilidades son ampliamente conocidas.

El desafío de la seguridad continua

La edad promedio de las vulnerabilidades de código abierto detectadas en este análisis es de 2,5 años, con un 25% de los proyectos afectados por vulnerabilidades que datan de hace más de una década.

Esta situación plantea una pregunta crucial: ¿cómo podemos mantener la seguridad en un entorno donde las amenazas persisten durante años sin ser detectadas?

Además, la seguridad ha mostrado un declive constante año tras año. En el informe de 2022, el 48% de los proyectos examinados mostraban vulnerabilidades de alto riesgo. En solo un año, esta cifra ha aumentado drásticamente hasta el 74%.

Esta tendencia al alza se atribuye en el estudio, en parte, a la reducción de la fuerza laboral técnica, lo que deja a menos desarrolladores disponibles para abordar estas vulnerabilidades en aumento.

El lado oscuro de las licencias de código abierto

Otro hallazgo preocupante del informe es la lucha de las empresas con el cumplimiento de las licencias de código abierto. Más de la mitad de los proyectos analizados (el 53%) presentan conflictos de licencias, lo que puede llevar a complicaciones legales y a una gestión ineficiente del código.

Sorprendentemente, el 31% de estos proyectos carecen de una licencia conocida o utilizan una licencia personalizada, lo que plantea interrogantes sobre la propiedad intelectual y la responsabilidad legal asociada con el uso de estos componentes.

Conclusión: navegando las aguas turbulentas de la seguridad del software

En última instancia, el informe de Synopsys sirve como una llamada de atención para la comunidad de desarrollo de software. A medida que los ciberdelincuentes continúan evolucionando y adaptándose, es imperativo que también lo hagamos nosotros.

Mantener una higiene de código rigurosa, gestionar las vulnerabilidades de manera proactiva y garantizar el cumplimiento de las licencias son pasos cruciales en la lucha contra el apocalipsis del código zombi.

Por suerte herramientas como Snyk o el propio GitHub, que te avisan proactivamente de las vulnerabilidades en tu código y en las dependencias de éste, te pueden facilitar mucho la tarea. pero queda mucho por hacer.

Solo con una colaboración y vigilancia constantes podemos esperar proteger nuestros sistemas digitales de estos peligros que los acechan.

campusMVP campusMVP es la mejor forma de aprender a programar online y en español. En nuestros cursos solamente encontrarás contenidos propios de alta calidad (teoría+vídeos+prácticas) creados y tutelados por los principales expertos del sector. Nosotros vamos mucho más allá de una simple colección de vídeos colgados en Internet porque nuestro principal objetivo es que tú aprendas. Ver todos los posts de campusMVP
Archivado en: General

Boletín campusMVP.es

Solo cosas útiles. Una vez al mes.

🚀 Únete a miles de desarrolladores

DATE DE ALTA

x No me interesa | x Ya soy suscriptor

La mejor formación online para desarrolladores como tú

Agregar comentario

Los datos anteriores se utilizarán exclusivamente para permitirte hacer el comentario y, si lo seleccionas, notificarte de nuevos comentarios en este artículo, pero no se procesarán ni se utilizarán para ningún otro propósito. Lee nuestra política de privacidad.