La vulnerabilidad zero-day de Log4Shell ha sido señalada como una causa importante de preocupación para las aplicaciones empresariales que dependen del popular registrador de código abierto, log4j. Si bien no se conoce el alcance total de cómo se está explotando la vulnerabilidad y los desarrolladores de software se apresuran a parchearla, esto demuestra que las empresas tienen una hiperdependencia del código abierto, y los desarrolladores internos deben ser proactivos en la comprobación periódica para detectar los fallos conocidos en el código y corregir su base general en consecuencia.

Una forma en que los desarrolladores pueden evaluar e identificar los riesgos en el código es desplegar software de due diligence tecnológica. Estas herramientas pueden ayudar a gestionar el uso de código abierto en bases de código más amplias desarrolladas internamente, identificando los términos de sus licencias y comprobando cualquier vulnerabilidad pública activa, así como las actualizaciones del software de código abierto. En este caso, las herramientas de due diligence tecnológica podrían identificar qué entornos están actualmente expuestos a la vulnerabilidad Log4Shell, de modo que los desarrolladores puedan parchearlos rápidamente cuando sea necesario y comprobar las actualizaciones de otro software y código fuente dentro de su sistema.

Disponer de herramientas de diligencia debida para el software y realizar auditorías periódicas del mismo no es algo habitual en muchas empresas, sobre todo en el caso de las startups y las PYMES. Sin embargo, en situaciones como esta, puede ser un salvavidas para ayudar a mantener el software libre de riesgos y conocer las posibles vulnerabilidades a las que podría estar expuesto. Si bien es cierto que las herramientas de due diligence tecnológica no podrán anticipar las vulnerabilidades que aún no son ampliamente conocidas, las empresas pueden incluso no darse cuenta de que están expuestas a los errores existentes en su código, por lo que revisar el software regularmente debe convertirse en una práctica común entre los desarrolladores.

About Author

Avatar

CTO de Vaultinum

Deja un comentario