Riesgos operacionales asociados al uso de software de código abierto

La empresa Endor Labs ven de publicar una lista con los diez principales riesgos asociados al uso de software de código abierto para optimizar los procesos de desarrollo de software.

La prevalencia del software de código abierto y la limitada capacidad de control sobre su seguridad representan un riesgo que en muchas ocasiones es pasado por alto. Hasta que surgen incidentes como el conocido log4shell, que afectó la infinidad de sistemas que incorporaban una librería de uso común (log4j). 

La intención de Endor Labs es proporcionar una clasificación actualizable de los principales riesgos, tanto operativos como de seguridad, que amenazan a los equipos de seguridad y desarrollo con el fin de que se adquiera conciencia de ellos y se tomen las medidas oportunas para afrontarlos lo antes posible.

Estos son los primeros elementos de la clasificación:

1. Vulnerabilidades conocidas: Una versión del componente puede contener código vulnerable, introducido accidentalmente por sus desarrolladores. Los detalles de la vulnerabilidad se divulgan públicamente, por ejemplo, a través de un CVE. Los exploits y parches pueden o no estar disponibles.

2. Compromiso del paquete legítimo: Los atacantes pueden poner en peligro recursos que forman parte de un proyecto legítimo o de la infraestructura de distribución con el fin de inyectar código malicioso en un componente.

3. Ataques de confusión de nombres: Los atacantes pueden crear componentes cuyos nombres se parezcan a los nombres de componentes legítimos de código abierto o del sistema (typo-squatting), sugerir autores confiables (brand-jacking) o jugar con patrones comunes de nomenclatura en diferentes idiomas o ecosistemas (combo-squatting).