Los ataques a repositorios de código abierto se disparan un 700% en tres años

  • Seguridad Inteligente

El volumen de actividad maliciosa dirigida a los repositorios de código fuente abierto ha alcanzado un crecimiento de tres dígitos en los últimos tres años.

Un estudio afirma, en datos recién publicados, haber detectado un aumento del 700% en los ataques diseñados para plantar malware en componentes de software, lo que puede causar estragos cuando estos componentes son utilizados por los equipos de DevOps aguas abajo.

Se identificaron más de 55.000 paquetes recién publicados como maliciosos en varios repositorios de código abierto durante el año pasado, y casi 95.000 en los últimos tres años.

"Casi todas las empresas modernas dependen del código abierto. Claramente, el uso de los repositorios de código abierto como punto de entrada para los ataques maliciosos no muestra signos de desaceleración, lo que hace que la detección temprana de las vulnerabilidades de seguridad conocidas y desconocidas sea más importante que nunca", aseguran los autores del estudio.

"Detener los componentes maliciosos antes de que entren por la puerta es un elemento fundamental de la prevención de riesgos y debería formar parte de todas las conversaciones en torno a la protección de las cadenas de suministro de software."

La prevención de este tipo es la única manera de avanzar, porque si un componente malicioso se descarga en una máquina de desarrollador - incluso si no se utiliza en un producto terminado - el daño puede haber sido ya hecho.

La escala del desafío también es demasiado grande para la prevención manual de amenazas, añadió el informe.

De hecho, según el informe 2021 State of the Software Supply Chain, se estima que el año pasado los desarrolladores mundiales tomaron prestados más de 2,2 billones de paquetes o componentes de código abierto de ecosistemas de terceros para acelerar el tiempo de comercialización.

La historia coincide con un informe de la Fundación Linux de principios de este año, en el que se afirmaba que más de dos quintas partes (41%) de las organizaciones no confían en la seguridad de su código abierto, y sólo la mitad (49%) afirma tener siquiera una política que cubra el uso del código abierto.

También reveló que el proyecto medio de desarrollo de aplicaciones contiene 49 vulnerabilidades que abarcan 80 dependencias directas, mientras que el 40% de todos los fallos estaban presentes en dependencias indirectas más difíciles de encontrar.

Más información 

 

CyberRes es la unidad de negocio de Micro Focus que busca ayudar a los clientes a mejorar su ciberseguridad y acelerar la confianza, la fiabilidad y la supervivencia en tiempos de adversidad, crisis y volatilidad empresarial. ¿Quieres conocer más sobre CyberRes? Puedes consultar este enlace