Software libre en tu empresa, ¿todo tu código es realmente tuyo?
Un informe que gustará incluso a los más perezosos: [PDF] OPEN SOURCE SECURITY ANALYSIS The State of Open Source Security in Commercial Applications
Aunque ya hace mucho tiempo que no es cierto, mucha gente sigue creyendo que el software no ha ‘entrado en su vida’. En este informe se habla del tema, en un aspecto en el que probablemente todavía menos gente piensa: el código libre que se ‘cuela’ en nuestras aplicaciones (por comodidad, conveniencia y lo que sea). Se dan algunas cifras como:
- Black Duck encuentra dependencias o incluso código libre en las aplicaciones corporativas en un 95% de las aplicaciones que analizan.
- Una aplicación comercial típica incluye un 35% de código libre.
- Naturalmente, eso incluye las vulnerabilidades que ese código pueda tener.
Los consejos serían:
- Tener políticas de uso de software libre
- Hacer seguimiento de ese código y cumplir (y hacer cumplir) las políticas
- Estar atentos a las vulnerabilidades que puedan provenir de este camino