Ventajas y retos del primer programa europeo de Bug Bounty
Estas iniciativas son positivas, pero deben ir acompañadas de otras medidas para abordar la seguridad del software.
La Unión Europea ha puesto en marcha para 2019 una campaña de “Bug Bounty” que comenzó en el mes de enero y que se prolongará hasta finales de año. En su primer proyecto de estas características, la UE no ha elegido ninguno de sus softwares, sino que se ha decantado por 15 proyectos de código abierto.
El objetivo de esta operación busca alentar a los entusiastas de la ciberseguridad a reportar y corregir las vulnerabilidades que encuentren en los diferentes programas, algunos de ellos de sobra conocidos. En total, las recompensas oscilan entre los 25.000 y los 90.000 euros.
El hecho de que la UE quiera abordar el estado de la seguridad del software de código abierto es positivo. No obstante, Veracode, especialista en ciberseguridad, hace una serie de recomendaciones y advertencias sobre el uso de estos programas de “recompensas”.
El eslabón final de una larga cadena
Veracode ha seguido con interés el crecimiento de la popularidad de estos programas de “recompensas”, que asignan una cantidad de dinero a quien informe de un error que afecta a la seguridad del software de una determinada aplicación. Desde los primeros proyectos en 1995, estas iniciativas han ido ganando cada vez más adeptos, una popularidad que se ha incrementado hasta llegar al punto de que gigantes tecnológicos como Facebook, Google y Yahoo ya tienen sus propios programas ‘bug bounty’.
El hecho de que la UE aborde el estado de la seguridad software del código abierto es un signo de progreso. Sin embargo, estos programas son solo un eslabón más en una larga cadena para garantizar la seguridad de las aplicaciones. “Se debe crear un entorno favorable para que hackers de buenas intenciones puedan actuar sin el riesgo de sanciones, también en proyectos de código abierto. Sin embargo, no hay que olvidar que estos programas de ‘recompensas’ deben ser solo una estrategia más dentro de una empresa para garantizar su seguridad”, asegura Paul Farrington, Director de EMEA y APJ en Veracode.
La seguridad en el código abierto: ‘hackers éticos’
Según el último estudio de la compañía sobre el Estado de la seguridad del software, el 87,5% de las aplicaciones Java contenían al menos una biblioteca de código abierto con algún fallo de seguridad. Por lo que advierte Paul Farrington que “es un error muy extendido confiar en que alguien más en la comunidad está buscando brechas de seguridad”, y recomienda emplear servicios DevSecOps durante el diseño del software para garantizar una mayor seguridad.
Algunos de los proyectos en el ámbito de las pruebas de la UE se basan en otros proyectos de código abierto que ya se sabe que tienen vulnerabilidades asociadas a ellos. Un simple análisis de su 'composición del software', revelaría brechas de seguridad. Una combinación estructurada entre monitorización automática e investigadores de ciberseguridad podría ser el camino para reducir el número de brechas de seguridad durante el desarrollo del software.