WhiteSource: analizando las vulnerabilidades en el código abierto
El Open Source está más de moda que nunca, y es que a día de hoy la inmensa mayoría de los desarrolladores profesionales utilizan al menos un componente de código abierto cuando trabajan. Esta expansión ha abierto un nicho de mercado, con empresas que tienen como actividad principal la supervisión de código para encontrar vulnerabilidades.
Uno de los pioneros del segmento mencionado en el párrafo anterior es la empresa de origen israelí WhiteSource, que hace poco ha anunciado haber recibido una inversión de 35 millones de dólares para poder expandir su infraestructura, llegando a más países y contratando a más ingenieros. Actualmente cuenta con oficinas en Tel Aviv, Nueva York y Boston y unas 500 empresas utilizan sus herramientas, de las cuales 23 aparecen en la prestigiosa lista Fortune 100. ¿De dónde vienen los 35 millones de dólares? Pues al parecer de varios inversores, entre las que se encuentran Susquehanna Growth Equity, 83North y M12. La última operaba antes bajo el nombre de Microsoft Ventures (sí, otra muestra de “amor” por parte del gigante de Redmond). Aunque no se conoce el valor real de WhiteSource, este se estima en unos 200 millones de dólares.
Rami Sass, CEO y uno de los fundadores de WhiteSource, ha comentado para TechCrunch que “ahora hay una concienciación sobre el potencial riesgo de las vulnerabilidades de seguridad en el código abierto usado”, algo que ha motivado los movimientos para hacer crecer su empresa, además de anunciar las intenciones de apostar más fuerte en materia de innovación e “invertir en la siguiente fase de la tecnología en este aspecto”. WhiteSource es una de las primeras empresas en utilizar el término “análisis de composición de software”, y posiblemente en el futuro utilice un enfoque aún más centrado en el desarrollador para la detección de problemas de seguridad en el software Open Source.
Al parecer, el éxito de WhiteSource radica en que ofrece una solución más comprensible que los de la competencia. Aquí, Rami Sass dice que “monitorizar es una descripción limitada. Somos capaces de gobernar las mitigaciones de los riesgos de seguridad, capaces de ver cada paso, capaces de bloquear componentes basados en la política corporativa”. Entre sus herramientas, se encuentra una para evitar la introducción de vulnerabilidades en el código, así como la posibilidad de llevar a cabo acciones que se pueden tomar retroactivamente cuando se identifica una vulnerabilidad y la posibilidad de comprobar diversas fuentes para obtener la información más reciente, teniendo a la National Vulnerability Database como la principal.
La actividad de WhiteSource queda avalada según el siguiente gráfico, en el que se ve un aumento del 52,73% en el número de vulnerabilidades descubiertas en 2017 frente a 2016.
Sobre las tecnologías en las que se han encontrado más vulnerabilidades, tenemos muchas marcas conocidas entre los usuarios de Linux, entre ellos el propio kernel.
Y en cuanto a lenguajes, C y su derivado C++ lideran la lista de forma clara, seguidos de PHP, Java, JavaScript y Python, aunque este último aparece mal escrito.
¿Significan estos números que el Open Source se está yendo por agujero oscuro plagado de vulnerabilidades? Nada más lejos de la realidad, ya que en el 97,4% de los casos las mismas comunidades son capaces de resolverlas, generalmente a los pocos días de conocerlas. Además, siguiendo la lógica de las políticas de seguridad en Windows, si la solución antimalware no ha detectado nada en un año es más un motivo de preocupación que de relajación, ya que esto podría ser un indicativo de que el antimalware no está haciendo bien su trabajo.
Los que quieran conocer todos los datos pueden consultar el informe de WhiteSource, en el que se pueden ver datos sobre más tipos de incidencias halladas en el software Open Source, yendo más allá de los problemas de seguridad.