La Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) ha advertido de que la mayoría de los proyectos críticos de código abierto no utilizan lenguajes de programación seguros para la memoria. En un informe conjunto con el FBI, el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia y el Centro Canadiense de Seguridad Cibernética, CISA analizó 172 proyectos derivados de la Lista de Proyectos Críticos del Grupo de Trabajo de Protección de Proyectos Críticos de OpenSSF. La investigación encontró que más de la mitad (52%) de los proyectos contienen código escrito en lenguajes no seguros para la memoria, lo que requiere una gestión manual de la memoria y aumenta el riesgo de errores que pueden conducir a vulnerabilidades de seguridad. Lo mismo ocurrió con el 55% del total de líneas de código de todos los proyectos. Algunos de los proyectos más grandes tenían más probabilidades de estar escritos en lenguajes no seguros para la memoria, encontró CISA. Se descubrió que los 10 proyectos más grandes tenían una mediana del 62,5 % de su código escrito en lenguajes no seguros para la memoria, y cuatro proyectos superaron el 94 %. Mientras tanto, un análisis de dependencia de tres proyectos escritos en lenguajes seguros para la memoria reveló que todos ellos dependían de otros componentes escritos en lenguajes no seguros. «La mayoría de los proyectos de código abierto críticos, incluso aquellos escritos en lenguajes seguros para la memoria, potencialmente contienen vulnerabilidades de seguridad de la memoria», dijo el Centro Australiano de Seguridad Cibernética. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre ciberdelito y seguridad de IA, recientemente actualizado para 2024. «La explotación exitosa de este tipo de vulnerabilidades, como desbordamientos de búfer y ‘uso después de liberación’, puede permitir a los adversarios tomar el control del software, los sistemas y los datos». «El uso diligente continuo de lenguajes de programación seguros para la memoria, prácticas de codificación seguras y pruebas de seguridad es imperativo para ayudar a mitigar estas y otras limitaciones». El informe instó a las organizaciones a realizar la transición de los proyectos existentes a lenguajes de programación seguros para la memoria y asegurarse de que los nuevos proyectos los utilicen El informe también pidió más investigación y colaboración para mejorar la comprensión y mitigar los riesgos. «Para reducir los riesgos, las organizaciones deben comprender completamente su consumo de OSS como parte de un inventario de activos de software más amplio», dijo Chris Hughes, asesor jefe de seguridad en la empresa de seguridad de código abierto Endor Labs y Cyber ​​Innovation Fellow en CISA. «Además, las organizaciones deben comprender las clases de vulnerabilidades y cómo se clasifican, y hacer esfuerzos para cambiar internamente a lenguajes seguros para la memoria y adoptar prácticas de codificación seguras». También pueden pedir transparencia a sus proveedores de software para comprender los riesgos en el software y los productos que consumen cuando se trata de OSS. Sin embargo, Tim Mackey, jefe de riesgo de la cadena de suministro de software en Synopsys Software Integrity Group, dijo que la mayoría del software se escribió antes de que se inventaran los lenguajes seguros para la memoria, y los equipos de desarrollo carecen de las habilidades necesarias. «Convertir una aplicación importante de usar un lenguaje a otro es costoso, probablemente requiera que el equipo respalde múltiples flujos de desarrollo importantes durante un período prolongado de tiempo mientras se logra la paridad de características entre las dos versiones, y puede requerir implícitamente que muchos de los contribuyentes originales se retiren el proyecto a menos que estén dispuestos a aprender el nuevo lenguaje de programación».