Como indican en Infraestructura Convergente, un estudio conjunto realizado por las firmas Sonatype y Aspect Security ha abierto la polémica al asegurar que la mayoría de grandes compañías del top-500 de Fortune, utilizan aplicaciones creadas sobre componentes de código abierto (librerías y frameworks) con agujeros de seguridad.
El informe -basado en una encuesta a 2.550 desarrolladores, arquitectos de software y analistas- sostiene que el código abierto “pasa por alto los defectos de los ecosistemas”, principalmente por la falta de un sistema de notificación de alerta a los desarrolladores acerca de las vulnerabilidades y nuevas versiones con correcciones.“El 80% del código en las aplicaciones de hoy en día proviene de bibliotecas y frameworks. El riesgo de las vulnerabilidades de estos componentes es ampliamente ignorado y subestimado”, destacan.
El informe afirma, por ejemplo, que se han registrado 46 millones de descargas de versiones inseguras de las bibliotecas y frameworks de código abierto más populares, como Google Web Toolkit, Spring MVC, Struts 1.X. e Hibernate. Struts 2, que fue descargada más de un millón de veces por 18.000 empresas, contiene una vulnerabilidad crítica.
Sin embargo hay muchos argumentos en contra de las conclusiones del estudio, tal y como revelan en la noticia original, en Infraestructura Convergente.
