Un estudio pone de relieve los riesgos del software de código abierto

Once paquetes de software de código abierto y las reacciones de cada comunidad ante cuestiones de seguridad fueron objeto de un estudio llevado a cabo por Fortify Software durante tres meses. El objetivo de tal estudio era descubrir si la comunidad creada en torno a cada uno de estos paquetes es consciente de los problemas de seguridad y vulnerabilidades, si publica guías de seguridad y si mantiene un proceso de desarrollo seguro. El servidor de aplicaciones de código abierto Tomcat obtuvo la mayor puntuación en el informe titulado “Open Source Study – How are open source development communities embracing security best practices?” (Estudio sobre Código Abierto - ¿Están las comunidades de desarrollo en código abierto adoptando mejores prácticas en seguridad?).

Las otras 10 aplicaciones, herramientas y bases de datos open source - Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin y Struts- tuvieron una mala actuación, según Fortify. No obstante, entre estos 10 paquetes, el servidor de aplicaciones JBoss consiguió la mayor puntuación al proporcionar un enlace destacado a información de seguridad en su sitio web y fácil acceso a expertos en seguridad; sin embargo, carece carece de un alias de correo electrónico específico para remitir vulnerabilidades de seguridad. “No quieres informar de agujeros a una lista de correo general porque saldrá a la luz de forma generalizada”, afirma Jacob West, director del grupo de investigación de seguridad de Fortify, para quien tiene que haber cierta confidencialidad a la hora de reportar este tipo de vulnerabilidad para que el parche pueda proporcionarse al tiempo que se informa al público y los atacantes no tengan con antelación información que puedan explotar.

No obstante, a menudo las comunidades de código abierto que ofrecen su software de forma gratuita no parecen ser muy conscientes de las prácticas de seguridad de sus rivales comerciales, que cobran por software y soporte, afirma West.

Fortify identificó un total de 22.826 ataques de tipo XSS (cross-site scripting) y 15.612 ataques de inyección SQL relacionados con múltiples versiones de los 11 paquetes de software de código abierto examinados. Pero cuando intentó localizar a las distintas comunidades de código abierto, cuyo principal punto de contacto es una web y una dirección de email general, la firma de seguridad se encontró con que “en dos tercios de los casos no se obtuvo respuesta. No hay número de teléfono. ¿Cómo vas a pedir información? Es difícil decir quienes son estas personas”, asevera el director de investigación.

El mismo informe señala que “con frecuencia los paquetes de código abierto aclaman tener capacidades de tipo empresarial pero no están adoptando –y ni siquiera considerando- las mejores prácticas de la industria. Sólo unos pocos equipos de desarrollo en código abierto se están moviendo en la dirección correcta”. West recalca que Fortify no ha realizado este estudio para condenar al software de código abierto sino para destacar que las prácticas de seguridad necesitan mejorar porque la adopción del open source está creciendo en empresas y administraciones públicas y la realidad es que, aunque el software de fuente libre puede parecer más rentable y tan funcional como el software comercial, el tema de mantenimiento debe examinarse con sumo cuidado. Y es que, a menudo, las empresas tienen que solucionar ellas mismas los problemas con sus soluciones de código abierto.

Las administraciones públicas y corporaciones tienen que decidir si van a intentar mitigar los problemas con el software open source por ellos mismos, mediante la evaluación de riesgos y la revisión del código, y si planean dar esa información a la comunidad de código abierto. “Esta es una cuestión fundamentan en el ciclo de vida de desarrollo de software”, afirma West, señalando que el estudio reveló a Fortify que las comunidades de código abierto tendían en estos casos a no corregir los fallos identificados en versiones de software durante un largo periodo de tiempo.