What is Open Source Security?

Open Source Security, commonly referred to as Software Composition Analysis (SCA), is a methodology to provide users better visibility into the open source inventory of their applications. This is done by examining components via binary fingerprints, utilizing professionally curated and proprietary research, matching accurate scans against that proprietary intelligence, as well as proving developers this intelligence directly inside their favorite tools.

Open source refers to any software with accessible source code that anyone can modify and share freely. Source code is the part of software that users don't see; it's the code programmers can create and edit to change how software works. By having access to a program’s source code, developers or programmers can improve the software by adding features to it or fixing parts that don't always work correctly.

Why Use Open Source Software?

In today’s fast paced business world, software teams have adopted agile development practices such as DevOps to keep up with business demand. These practices put a lot of pressure on developers to build and deploy applications more quickly. To successfully achieve their goals within short software release cycles, developers frequently use open source software components. Open Source Software (OSS) is distributed freely, making it very cost-effective. Many developers benefit by starting with OSS and then tweaking it to suit their needs. Since the code is open, it's simply a matter of modifying it to add the functionality they want.

Is Open Source a Security Risk?

It’s no secret... developers use open source software. Still, there are questions around how it should be managed – and for good reason. Here’s why: Open source components are not created equal. Some are vulnerable from the start, while others go bad over time. Usage has become more complex. With tens of billions of downloads, it’s increasingly difficult to manage libraries and direct dependencies. Transitive dependencies: if you are using dependency management tools like Maven (Java), Bower (JavaScript), Bundler (Ruby), etc., then you are automatically pulling in third party dependencies – a liability that you can’t afford. Fortify ’s preferred Software Composition Analysis (SCA) partner Sonatype ’s research team recently found in their latest State of the Software Supply Chain that: 300,000+ open source components are downloaded annually by the average company In 2018, across billions of open source component release downloads, 1 in 10 open source compenents had known security vulnerabilities (10.3%). 51% of JavaScript package downloads contained known security vulnerabilities. 71% increase in confirmed or suspected open source related breaches since 2014 55% reduction in the use of vulnerable open source component releases within managed software supply chains

How do I identify Open Source Vulnerabilities in my software?

Enterprises need to secure not just the code they write, but also the code they consume from open source components. That’s why many organizations are using Sonatype to automate open source governance at scale across the entire SDLC , shifting security left within development and build stages. Discover the best-in-class, integrated solution for custom code and open source code security with Fortify and Sonatype . With integration to Fortify on Demand , precise open source intelligence provides a 360-degree view of application security issues across the custom code and open source components in a single scan. You can perform searches for Open Source and Custom Code Vulnerabilities in a Single Scan and Dashboard

What are the benefits of Open Source security with Fortify and Sonatype:

Provide code once for both SAST and software composition analysis Supports Java, .NET, JavaScript and Python Integrated results deliver one platform for remediation, reporting and analytics Examines fingerprints of 65M components for high accuracy Detects 70% more vulnerabilities than the NVD database alone

¿Qué es la seguridad de código abierto?

La seguridad de código abierto, que habitualmente se conoce como análisis de composición de software (SCA, por sus siglas en inglés), es una metodología para proporcionar a los usuarios una mejor visibilidad del inventario de código abierto de sus aplicaciones. Esto se realiza examinando componentes a través de huellas digitales binarias, utilizando investigación patentada y profesionalmente seleccionada, comparando escaneos precisos con esa inteligencia patentada y demostrando a los desarrolladores dicha inteligencia directamente dentro de sus herramientas favoritas.

¿Qué es el código abierto?

El código abierto hace referencia a cualquier software con código fuente accesible que cualquier persona puede modificar y compartir libremente. El código fuente es la parte del software que los usuarios no ven; es el código que los programadores pueden crear y editar para cambiar el funcionamiento del software. Al tener acceso al código fuente de un programa, los desarrolladores o programadores pueden mejorar el software añadiendo características o arreglando partes que no siempre funcionan correctamente.

¿Por qué se utiliza el software de código abierto?

En el acelerado mundo empresarial de hoy en día, los equipos de software han adoptado prácticas de desarrollo dinámicas como DevOps para adaptarse a la demanda empresarial. Estas prácticas ejercen mucha presión sobre los desarrolladores para que creen e implementen aplicaciones más rápidamente. Para lograr con éxito sus objetivos en ciclos cortos de lanzamientos de software, los desarrolladores utilizan con frecuencia componentes de software de código abierto. El software de código abierto (OSS, por sus siglas en inglés) se distribuye libremente, lo que resulta muy rentable. Muchos desarrolladores se benefician al empezar con OSS y luego ajustarlo para satisfacer sus necesidades. Como el código es abierto, solo es cuestión de modificarlo para añadir la funcionalidad que desean.

¿El código abierto supone un riesgo para la seguridad?

No es un secreto que los desarrolladores utilizan software de código abierto.
Aun así, hay preguntas sobre cómo se debe gestionar, y con razón.

He aquí el por qué:

No todos los componentes de código abierto tienen la misma naturaleza. Algunos son vulnerables desde un principio, mientras que otros se deterioran con el tiempo.
El uso se ha hecho más complejo. Con decenas de miles de millones de descargas, es cada vez más difícil gestionar bibliotecas y dirigir dependencias.
Dependencias transitivas: si está utilizando herramientas de gestión de dependencias como Maven (Java), Bower (JavaScript), Bundler (Ruby), etc., entonces está utilizando automáticamente dependencias de terceros: una responsabilidad que no se puede permitir.
La empresa media descarga anualmente más de 300 000 componentes de código abierto.
En 2018, de los miles de millones de descargas de versiones de componentes de código abierto, solamente uno de cada diez componentes de código abierto tenía vulnerabilidades de seguridad conocidas (10,3 %).
El 51 % de descargas de paquetes de JavaScript contenían vulnerabilidades de seguridad conocidas.
Desde 2014, se ha producido un aumento del 71 % en las vulneraciones relacionadas con el código abierto confirmadas o sospechosas.

¿Cómo identifico las vulnerabilidades de código abierto en mi software?

Las empresas deben proteger no solo el código que escriben, sino también el código que consumen de componentes de código abierto. Por eso, muchas organizaciones utilizan Sonatype para automatizar la gestión del código abierto a escala en todo el SDLC, desplazando la seguridad a la izquierda dentro de las etapas de desarrollo y compilación.

Descubra una solución integrada de nivel superior para la seguridad del código personalizado y el código abierto con Fortify y Sonatype. La inteligencia de código abierto precisa ofrece una vista de 360 grados de los problemas de seguridad de las aplicaciones a través del código personalizado y los componentes de código abierto con un solo escaneo. Puede realizar búsquedas de vulnerabilidades de código abierto y código personalizado en un solo escaneo y panel de control

Fortify ofrece también inteligencia de código abierto y seguridad gracias a Debricked, utilizando aprendizaje automático de vanguardia para obtener resultados más rápidos y precisos. Debricked es una solución de análisis de composición de software nativa de la nube que resulta atractiva para los desarrolladores, lo que aumenta la productividad. Esta solución emplea un enfoque global que se integra sin problemas en el ciclo de vida de DevOps para gestionar los riesgos de la cadena de suministro del software.

Your browser is not supported

OpenText Cloud

¿Qué es la seguridad de código abierto?

¿Qué es el código abierto?

¿Por qué se utiliza el software de código abierto?

¿El código abierto supone un riesgo para la seguridad?

¿Cómo identifico las vulnerabilidades de código abierto en mi software?

Productos relacionados

Fortify on Demand

Fortify Static Code Analyzer

Fortify Software Security Center

Otros recursos