A medida que aumenta el consumo de software de código abierto (OSS), se ha producido un aumento del 156% en el malware de código abierto, según nuevos hallazgos de Sonatype. Se han identificado más de 704.102 paquetes maliciosos desde 2019, y 512.847 de ellos se han descubierto desde noviembre de 2023, según el décimo informe anual sobre el estado de la cadena de suministro de software de la empresa. Este año ha sido un año récord para el consumo de código abierto, según Sonatype, alcanzando un estimado de 6,6 billones de descargas. JavaScript (npm) representó la asombrosa cifra de 4,5 billones de solicitudes en 2024, lo que representa un crecimiento interanual del 70% en solicitudes. Se estima que Python (PyPI), impulsado por la inteligencia artificial y la adopción de la nube, alcanzará 530 mil millones de solicitudes de paquetes para fines de 2024, un aumento interanual del 87%, según los hallazgos de Sonatype. Npm es un administrador de paquetes para el lenguaje de programación JavaScript y PyPI un administrador de paquetes para Python. La compañía dijo que las organizaciones continúan luchando con una mitigación eficiente de riesgos y, si bien la investigación de Sonatype se centra en el aumento de proyectos de código abierto contaminados, el informe señaló que todo el software comercial o de código abierto eventualmente tendrá errores que evolucionarán hacia vulnerabilidades. A pesar de que más del 99 % de los paquetes tienen versiones actualizadas disponibles, el 80 % de las dependencias de las aplicaciones permanecen sin actualizar durante más de un año. Además, el 95% de las veces, cuando se consumen componentes vulnerables, ya existe una versión reparada. El riesgo es persistente y el 13% de las descargas de Log4j siguen siendo vulnerables, tres años después de la exposición de Log4shell. También se observó que los editores luchan por mantenerse al día con la corrección de CVE, ya que varias vulnerabilidades tardan más de 500 días en solucionarse. Entre 2013 y 2023, hubo un crecimiento del 463% en CVE. En el informe, Sonatype pide a los fabricantes de software, consumidores y reguladores que adopten prácticas de seguridad sólidas y afirma que el equilibrio entre innovación y seguridad es más crítico que nunca. «Durante la última década, hemos visto cómo los ataques a la cadena de suministro de software aumentan en sofisticación y frecuencia, particularmente con el aumento del malware de código abierto, mientras que los editores y consumidores se han mantenido relativamente estancados en lo que respecta a la seguridad», afirmó Brian Fox, CTO y Cofundador de Sonatype. «Para garantizar un ecosistema de código abierto vibrante y seguro para la próxima década, debemos construir una base de seguridad proactiva con vigilancia contra el malware de código abierto, menor complacencia del consumidor y gestión integral de la dependencia». A pesar de los desafíos, la compañía señaló que los reguladores están comenzando a ponerse al día con los problemas. Están surgiendo nuevas políticas, incluida la Directiva actualizada de sistemas de información y redes (NIS2) de la UE, que entrará en vigor el 17 de octubre de 2024, así como las próximas regulaciones que surgirán en India y Australia. Estas políticas están fomentando la adopción de listas de materiales de software (SBOM), con más de 60.000 SBOM publicadas en el último año. El informe de Sonatype estuvo respaldado por datos de más de siete millones de proyectos de código abierto.