• Tweet

El uso de código de terceros en aplicaciones representa un gran riesgo de seguridad para las compañías, de acuerdo a un estudio del proveedor de seguridad Veracode.

Algunas compañías utilizan bibliotecas de código, las cuales fueron desarrolladas por proyectos de código abierto o por organizaciones outsourcing contratadas para crear aplicaciones, dijo Jason Steer, arquitecto de soluciones para Veracode, quién se especializa en escaneo de código para vulnerabilidades.

Entre el 30% y 70% del código en las aplicaciones proviene de terceras partes, quienes la mayoría de las veces no alcanzan un nivel de seguridad aceptable por encima del 81%, de acuerdo al estudio. En general, las aplicaciones de terceros son menos seguras que las desarrolladas internamente.

“Este es un gran problema para los clientes”, dijo Steer en la Cumbre del Consejo de Seguridad de Gartner y Gestión de Riesgos en Londres, el miércoles.

El problema es ejemplificado por Twitter, en donde una falla de cross-site scripting fue explotada en su sitio el martes. El código de terceros habilitó una función de javascript llamada “onmouseover”, dijo Steer. El comando puede desencadenar actividad al desplegar un cuadro emergente, pero podría ser manipulado para redirigir al usuario a un sitio Web malicioso.

Las bibliotecas de código utilizadas por las compañías en las aplicaciones a menudo son “anidadas”, lo que significa que tienen componentes desarrollados por terceros. Una vez incluidos en una aplicación, el código puede ser difícil de probar si no es de código abierto, dijo Steer.

Esto significa que las empresas deben ser cautelosas con el código que no se ha desarrollado internamente.

“Los componentes y aplicaciones tanto de terceros como internos deben ser sometidos al mismo nivel de verificación de seguridad para garantizar la seguridad en toda la cartera de aplicaciones”, de acuerdo al informe de Veracode. “Los contratos de compra para proveedores de software comercial o para las empresas outsourcing, deben insistir en la autoridad para llevar a cabo pruebas de seguridad independientes y especificar los criterios de aceptación mínima de seguridad.”

El último estudio de Veracode evaluó el estado de seguridad de una aplicación, consiguiendo datos de los clientes y utilizando este centro de datos base para escaneo de código de servicio, con el cual realizó un análisis a nivel de código en los últimos seis meses para 2,922 aplicaciones.

Veracode encuentra que estos clientes han corregido las vulnerabilidades en sus aplicaciones con mayor rapidez en los últimos seis meses a comparación del primer estudio que se publicó el pasado año.

Steer dijo que a las empresas les toma alrededor de 16 días corregir los problemas en su código comparado con los más de 50 días que anteriormente tardaban.

“La mayoría de los proveedores de terceros evaluados también han corregido rápidamente sus aplicaciones, pues tres cuartas partes de todas las aplicaciones requieren sólo de 11 días para alcanzar niveles de seguridad y calidad aceptables”, informa el reporte de Veracode.