¿Qué saben los mantenedores de código abierto sobre seguridad?
En una encuesta reciente sobre el estado de la seguridad de código abierto (aclaración: soy empleado de SNYK, la fuente de esta encuesta), se preguntó a los consumidores y mantenedores de código abierto sobre su experiencia en seguridad, acciones y sentido de propiedad, y los resultados fueron muy diversos.
Pericia
Un área de enfoque giraba en torno a la experiencia del mantenedor. Se pidió a los encargados de mantenimiento que clasificaran su experiencia en seguridad, desde "Alta" hasta "Casi nada". Los resultados no fueron alentadores, sin embargo, podrían ser peores. Solo el 16,8 por ciento de los mantenedores calificaron su experiencia como alta. Otro 56 por ciento lo calificó como medio, mientras que el 26 por ciento lo calificó como bajo. En el lado positivo, solo el uno por ciento de los mantenedores dijeron que no saben "casi nada" sobre seguridad.
Si bien ver que solo uno de cada seis mantenedores tiene una alta experiencia en seguridad no es bueno, estas estadísticas probablemente reflejen el estado general de competencia en seguridad entre los desarrolladores (si no son un poco mejores). Sin embargo, sí demuestra que los consumidores de FOSS conocedores de la seguridad deberían considerar seriamente contribuir con algo de su experiencia, para ayudar a todo el ecosistema a obtener algo de este conocimiento y a propagarlo.
Prácticas de seguridad
El conjunto de resultados más perturbador se produjo en torno a las prácticas de seguridad. Un impactante 43,7 por ciento de los encargados de mantenimiento dijeron que nunca auditaron su código por problemas de seguridad, y otro 31,8 por ciento solo auditó sus proyectos una o dos veces. El trece por ciento dijo que audita anualmente, mientras que solo el once por ciento audita su código al menos trimestralmente. Extrapolando estas estadísticas de los mantenedores a los proyectos, casi la mitad de los proyectos de FOSS que consume nunca han sido auditados y alrededor de un tercio son ligeramente mejores.
Al inspeccionar los 400,000 proyectos principales en GitHub, solo el 2.4 por ciento de los proyectos incluyen un archivo que contiene información de seguridad, que contiene desde cómo revelar una vulnerabilidad descubierta hasta la configuración relacionada con la seguridad. El ecosistema de FOSS no incentiva a los mantenedores de FOSS a dedicar tiempo a la seguridad y, como resultado, de hecho no lo hacen.
Rapidez de respuesta
Para terminar con una nota positiva, se preguntó a los mantenedores con qué rapidez creen que pueden liberar y resolver un problema de seguridad que se les informó. Un impresionante 34 por ciento de los mantenedores dijeron que se tomarán el tiempo para arreglarlo en un día, y otro grupo grande del 60 por ciento dijo que lo harán en una semana. Tener el 94 por ciento de los mantenedores dispuestos a abordar el problema en una semana o menos es extremadamente beneficioso y más rápido que muchas tiendas de desarrollo comercial.
En la práctica, vemos que el tiempo medio para reparar una vulnerabilidad reportada es de 16 días desde la divulgación hasta la corrección. Dado que se necesita tiempo para pasar de saltar sobre un problema informado a tener una solución que funcione, demuestra que los mantenedores están cumpliendo estrechamente con estos plazos prometidos.
Esta estadística da esperanza de que los problemas anteriores se puedan solucionar, porque muestra el cuidado de los mantenedores. Recuerde que a los encargados de mantenimiento de FOSS no se les paga por su trabajo, por lo que no es obvio que puedan, o estén dispuestos, a dejar todo para abordar una falla de seguridad informada. Su voluntad de hacerlo demuestra que fomentan la alta seguridad, solo necesitan mejores andamios y apoyo para que esto suceda, y debemos brindarles eso.
No hay comentarios:
Publicar un comentario