Proyectos Open Source fueron el doble de vulnerables en 2019

Uno de los mantras más repetidos por los entusiastas del software libre es que este tipo de desarrollos habitualmente son más seguros que aquellos que se basan en software propietario. La premisa de la que parten es sencilla: con más «ojos» revisando el código de forma continua, las posibles vulnerabilidades son detectadas y parcheadas con más velocidad.

Sin embargo, hoy conocemos una nueva investigación que pone esta afirmación en entredicho. Según el estudio «The Dark Reality of Open Source» (la oscura realidad del software de código abierto), las vulnerabilidades que afectarían a este tipo de desarrollos se habrían duplicado en el último año.

En este sentido, el estudio que analiza 54 de los proyectos de código abierto más populares entre desarrolladores y empresas, afirma que los bugs reportados para estos desarrollos habrían pasado de los 421 de 2018, a los 968 del año pasado. ¿Pero de qué proyectos hablamos exactamente?

El autor dejar fuera de la investigación aquellos los proyectos más conocidos como pueden ser Linux, WordPress o Drupal. El motivo es sencillo: al contar con una comunidad de desarrolladores y supervisores de código gigantesca, es cierto que en este caso la premisa se cumple y los posibles agujeros de seguridad que se encuentran nunca acaban por convertirse en un auténtico problema.

La cosa cambia sin embargo cuando se analizan otros proyectos que aunque sobre el papel puedan parecer más pequeños, en los últimos años han crecido con fuerza al calor de cloud computing y la nube híbrida. En este sentido, el informe asegura que herramientas como Jenkins, MongoDB. ElasticSearch, Chef, GitLab, Spark o Puppet se encontrarían entre los más afectados.

Por otro lado, el informe denuncia que los responsables de estos proyectos se tomaron una media de 54 días entre el momento en que detectaron un bug de seguridad, hasta que finalmente fue reportado, con casos como el de PotgreSQL, que se tomó nada menos que ocho meses antes de reportar sus vulnerabilidades a la National Vulnerability Database (NVD).

Finalmente, en el estudio se destaca que de los proyectos analizados, Jenkins Automation Server y MySQL database server son los que desde el año 2015 han demostrado ser los más vulnerables, si bien es cierto que otros como Alfresco CMS o Vagrant, aunque han presentado históricamente menos bugs,  estos resultan mucho más fáciles de explotar.