Riscos operacionais asociados ao uso de software de código aberto

A empresa Endor Labs ven de publicar unha lista cos dez principais riscos asociados ao uso de software de código aberto para optimizar os procesos de desenvolvemento de software.

A prevalencia do software de código aberto e a limitada capacidade de control sobre a súa seguridade representan un risco que en moitas ocasións é pasado por alto. Ata que xorden incidentes como o coñecido log4shell, que afectou a infinidade de sistemas que incorporaban unha librería de uso común (log4j). 

A intención de Endor Labs é proporcionar unha clasificación actualizable dos principais riscos, tanto operativos como de seguridade, que ameazan aos equipos de seguridade e desenvolvemento co fin de que se adquira conciencia deles e tómense as medidas oportunas para afrontalos canto antes.

Estes son os primeiros elementos da clasificación:

1. Vulnerabilidades coñecidas: Unha versión do compoñente pode conter código vulnerable, introducido accidentalmente polos seus desarrolladores. Os detalles da vulnerabilidade divúlganse publicamente, por exemplo, a través dun CVE. Os exploits e parches poden ou non estar dispoñibles.

2. Compromiso do paquete lexítimo: Os atacantes poden poñer en perigo recursos que forman parte dun proxecto lexítimo ou da infraestrutura de distribución co fin de inxectar código malicioso nun compoñente.

3. Ataques de confusión de nomes: Os atacantes poden crear compoñentes cuxos nomes se parezan aos nomes de compoñentes lexítimos de código aberto ou do sistema (typo-squatting), suxerir autores confiables (brand-jacking) ou xogar con patróns comúns de nomenclatura en diferentes idiomas ou ecosistemas (combo-squatting).