El software de código abierto es muy popular entre los desarrolladores y las empresas de tecnología, pero el uso irrestricto de soluciones basadas en él se convierte en un gran riesgo de seguridad para los usuarios.

Sobre eso ha informado The State of Open-Source Security, en coautoría de Snyk y Linux Foundation.

Según Snyk y Linux Foundation, más de un tercio de las empresas no están seguras de la seguridad de sus soluciones de software de código abierto.

Según el portavoz de Snyk, Matt Jarvis, los desarrolladores de software ahora tienen sus propias cadenas de suministro: En lugar de ensamblar piezas de automóviles, ensamblan el código y adjuntan los componentes existentes con su propio código único.

Si bien, esto conduce a una mayor productividad e innovación, también plantea importantes riesgos de seguridad.

En su opinión, siempre según el informe, encontró evidencia de las ideas ingenuas de las empresas tecnológicas sobre el estado del ecosistema de soluciones de código abierto.

Junto con Linux Foundation, la compañía planea usar esta información para educar y equipar a los desarrolladores de todo el mundo para que puedan continuar desarrollando software rápidamente mientras mantienen el nivel de seguridad requerido.

El estudio muestra que el proyecto de desarrollo de aplicaciones promedio tiene 49 vulnerabilidades y 80 llamadas a dependencias directas.

Además, el tiempo para solucionar problemas identificados en proyectos de código abierto aumenta constantemente.

Si bien, tomaba alrededor de 49 días eliminar una vulnerabilidad en 2018, han pasado a ser 110 días en 2021.

El estudio se basa en una encuesta de más de 550 encuestados en el primer trimestre de 2022 y en datos de la base de datos de código abierto Snyk, que contiene información sobre 1.300 millones de proyectos de código abierto.

Se reporta que solo el 49% de las empresas cuentan con una política de seguridad específica para desarrollar o utilizar software de código abierto, en comparación con solo el 27% de las medianas y grandes empresas.

Alrededor del 30% de las empresas incluso, admitieron que no tienen una sola persona directa o indirectamente responsable de la seguridad de los programas de código abierto.

Adicionalmente, las mismas empresas no tenían una política de seguridad relacionada con el tema.