Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
237
)
-
▼
enero
(Total:
237
)
-
Go 1.25.6 y 1.24.12 parchean vulnerabilidades crít...
-
Vulnerabilidad SSRF en FortiSandbox permite a atac...
-
Informe "El estado del Código Abierto confiable"
-
Wikipedia cumple 25 años y firma acuerdos con los ...
-
Intel Xe3P: la iGPU de Nova Lake con 12 Cores será...
-
AuraAudit: herramienta de código abierto para anal...
-
Bibliotecas de IA de Nvidia, Apple y Salesforce en...
-
Un gadget para escuchar música desde tu boca: así ...
-
Troyano bancario para Android: roba datos bancario...
-
La DDR3 resucita: vuelven al mercado placas base d...
-
China lanza una app para saber si sigues con vida
-
Actualización de seguridad de Node.js corrige 7 vu...
-
España invertirá 4.000 millones en una GIGAFAB de ...
-
Las 20 vulnerabilidades más explotadas: los produc...
-
Hackers del mundo se reunieron en secreto en Españ...
-
Spotify ha vuelto a subir los precios
-
MEMOpocalipsis: NVIDIA prioriza las RTX 5060 de 8 ...
-
GoBruteforcer: botnet para Linux basada en credenc...
-
Grok, no más bikinis: la IA de X ya no permite cre...
-
Nueva amenaza bajo el mar: Rusia desarrolla drones...
-
HoneyTrap: un nuevo marco de defensa de LLM contra...
-
Nuevo malware VoidLink en la nube ataca sistemas L...
-
Pekín prohíbe a entidades chinas usar software de ...
-
Hasta el programador más famoso del mundo ya utili...
-
NVIDIA DLSS 4.5 hace magia: puede reconstruir incl...
-
Un modder australiano resuelve el enigma del PC en...
-
Anthropic presenta "Claude para la Salud" para ayu...
-
Trabajadores remotos de Corea del Norte generan 60...
-
Vulnerabilidad crítica expone switches Ethernet Moxa
-
Unas gafas que enfocan según la distancia desde la...
-
AsyncRAT usa servicios gratuitos de Cloudflare par...
-
Múltiples vulnerabilidades en Hikvision permiten a...
-
Malware VVS Stealer roba credenciales y tokens de ...
-
Telegram expone las direcciones IP de usuarios rea...
-
TikTok se ha llenado de vídeos con IA: así puedes ...
-
En España el Ministerio de Defensa anuncia la cons...
-
Infiltraron el ecosistema de nodos comunitarios de...
-
Starlink anuncia la llegada a España de la conexió...
-
WhatsApp lanza el "Modo Padres": así podrás vigila...
-
Winslop es una nueva herramienta que limpia Window...
-
IKEA lanza en España el gadget que todo hogar nece...
-
YARA-X 1.11.0 lanzado con nuevas advertencias de f...
-
Discos duros Seagate de 32 TB con CMR (Exos, SkyHa...
-
El Departamento de Comercio de EE.UU. levanta la r...
-
Nuevo ataque Magecart roba tarjetas de crédito en ...
-
Apple rediseñará completamente su app de Salud con...
-
ASUS actualiza sus ROG Matrix RTX 5090 con una nue...
-
Nueva vulnerabilidad de Microsoft Copilot con un c...
-
30 años de Microsoft Bob, uno de los mayores fraca...
-
Cloudflare cambia de postura y comienza a bloquear...
-
Vulnerabilidad crítica en React Router permite a a...
-
Japón: piden a los gamers vender sus ordenadores s...
-
ASUS NUC 16 Pro, primer Mini-PC con Intel Panther ...
-
Vulnerabilidad en herramienta CLI de Spring permit...
-
La comunidad científica vuelve a la carga contra E...
-
Elastic corrige múltiples vulnerabilidades que per...
-
Nueva herramienta EDRStartupHinder bloquea antivir...
-
Adiós al metaverso: Meta despedirá a 1.500 emplead...
-
X suspende cuenta de Twitter por violar normas
-
GameSir Swift Drive, el primer gamepad con volante...
-
GIGABYTE presenta la AORUS GeForce RTX 5090 INFINITY
-
Adiós a los enjambres de drones: la OTAN ya tiene ...
-
Grok, en problemas en Estados Unidos
-
Sistemas de refrigeración y fuentes de alimentació...
-
Lista de verificación de seguridad de redes – Guía...
-
DeepSeek-V4 será el próximo modelo de IA que tiene...
-
Grupo Everest afirma haber hackeado Nissan Motors
-
Cean un bot de Telegram que te avisa de las baliza...
-
GameStop cierra centenares de tiendas ¿Adiós a la ...
-
Secuestraron Apex Legends para controlar los contr...
-
Ejecutivos occidentales visitan fábricas de coches...
-
Nueva vulnerabilidad en Angular permite a un ataca...
-
Vulnerabilidades críticas en InputPlumber permiten...
-
Ray-Ban Meta estrena una nueva función que permite...
-
Día de parches de seguridad de SAP enero 2026 – Pa...
-
Grupo de hackers Careto regresa tras 10 años con n...
-
Programador crea emulador de NES funcional con IA ...
-
MSI presenta SSD SPATIUM M571 DLP
-
Actores de amenazas atacan sistemas con más de 240...
-
Los administradores ya pueden desinstalar Microsof...
-
Apple elige oficialmente a Gemini para potenciar a...
-
Endesa reconoce un ataque con filtración datos per...
-
Función Narrador con IA de Copilot llega a todos l...
-
Esto es lo que significa el punto verde en la barr...
-
ChatGPT prepara una función para ayudarte a encont...
-
¿Qué es el 'overclocking' de la GPU, CPU o RAM?
-
HP comenzará a utilizar chips de memoria de provee...
-
Cuenta atrás para Microsoft Lens: la app de escane...
-
Meta firma acuerdos para conseguir suministrar más...
-
Cómo evitar que Windows vuelva a abrir aplicacione...
-
Lab para jugar con servidores MCP vulnerables
-
Doom funcionando en una olla eléctrica
-
NordPass permite integrar un autenticador TOTP con...
-
No siempre merece la pena dar el salto a WiFi 7
-
Primeros pasos de Wi-Fi 8 en el CES
-
Nueva oleada de phishing suplanta al Ministerio de...
-
La Policía Nacional española arresta 34 personas e...
-
Filtración de BreachForums: exponen todos los regi...
-
Vulnerabilidad crítica en Zlib permite a atacantes...
-
Las 5 ciberestafas con más víctimas en WhatsApp
-
-
▼
enero
(Total:
237
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Logitech admite un error crítico por certificados caducados que bloqueó Logi Options+ y G Hub en macOS, pero ya lanzó parches oficiales ... -
Actores de amenazas chinos han desarrollado un peligroso nuevo método para robar dinero directamente de cuentas bancarias mediante aplicacio... -
WhatsApp lanza el "Modo Padres" para vigilar y limitar chats de menores , incluyendo gestión de contactos , límites de privacida...
Informe "El estado del Código Abierto confiable"
Chainguard publicó el informe "El estado del Código Abierto confiable", analizando 1.800 proyectos de contenedores y 10.100 vulnerabilidades (CVE), destacando que Python (71,7%) y Node (56,5%) dominan el uso en producción, pero el 98% de los CVE se concentran en imágenes menos populares. El 44% de clientes usa imágenes FIPS por cumplimiento normativo, y el 61,4% de las cargas de trabajo dependen de imágenes de "cola larga", subrayando la necesidad de asegurar toda la cadena de suministro, no solo los proyectos principales.
La empresa Chainguard publicó el informe "El estado del Código Abierto confiable", un análisis trimestral de la cadena de suministro de software de código abierto. Al analizar el uso anónimo de productos y los datos de CVE, el equipo de Chainguard detectó temas comunes en torno a lo que los equipos de ingeniería de código abierto utilizan realmente para construir y los riesgos asociados.
Este informe analiza más de 1.800 proyectos únicos de imágenes de contenedores, un total de 10.100 instancias de vulnerabilidad y 154 CVE únicos rastreados desde el 1 de septiembre de 2025 hasta el 30 de noviembre de 2025. Cuando usamos términos como "20 proyectos principales" y "proyectos de cola larga" (definidos por imágenes fuera del top 20), se refieren a patrones de uso reales observados en la cartera de clientes de Chainguard y en las extracciones de producción.
Uso: Lo que los equipos realmente ejecutan en producción
La huella actual de los contenedores de producción es exactamente la esperada: los lenguajes fundamentales, los entornos de ejecución y los componentes de infraestructura dominan la lista de los más populares.
Imágenes más populares: La IA está transformando la pila base
En todas las regiones, las imágenes principales son elementos básicos y conocidos: Python (71,7% de los clientes), Node (56,5%), nginx (40,1%), go (33,5%), redis (31,4%), seguidos de JDK, JRE y un conjunto de herramientas esenciales de observabilidad y plataforma como Grafana, Prometheus, Istio, cert-manager, argocd, ingress-nginx y kube-state-metrics.
Esto indica que los clientes operan una cartera de componentes esenciales, como lenguajes, puertas de enlace, malla de servicios, monitorización y controladores, que, en conjunto, forman la base de su negocio.
No es sorprendente que Python lidere el camino a nivel mundial, como el lenguaje de enlace predeterminado para la pila de IA moderna. Los equipos suelen estandarizar Python para el desarrollo de modelos, las canalizaciones de datos y, cada vez más, también para los servicios de inferencia de producción.
El uso de imágenes de cola larga es crucial para la producción, no para casos extremos.
Las imágenes más populares de Chainguard representan solo el 1,37 % del total de imágenes disponibles y representan aproximadamente la mitad de las extracciones de contenedores. La otra mitad del uso en producción proviene de otras fuentes: 1.436 imágenes de cola larga que constituyen el 61,42 % de la cartera de contenedores promedio del cliente.
En otras palabras, la mitad de las cargas de trabajo de producción se ejecutan en imágenes de cola larga. Estos no son casos extremos. Son fundamentales para la infraestructura de las empresas. Es relativamente sencillo mantener las mejores imágenes optimizadas, pero lo que requiere un código abierto confiable es mantener esa seguridad y velocidad en todo lo que los clientes realmente ejecutan.
Uso de FIPS: El cumplimiento normativo es un catalizador para la acción.
El cifrado FIPS es una tecnología esencial en el ámbito del cumplimiento normativo, centrada en satisfacer los requisitos de cifrado. Y ofrece una perspectiva útil sobre cómo la presión regulatoria impulsa la adopción. Según los datos, el 44% de los clientes ejecutan al menos una imagen FIPS en producción.
El patrón es consistente: al trabajar con marcos de cumplimiento normativo como FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight o HIPAA, los equipos necesitan software de código abierto robusto y confiable que refleje sus cargas de trabajo comerciales. Las imágenes FIPS más utilizadas se alinean con la cartera más amplia, simplemente con módulos criptográficos reforzados para auditoría y verificación.
Los principales proyectos de imágenes FIPS incluyen Python-fips (el 62% de los clientes con al menos una imagen FIPS en producción), Node-fips (50%), nginx-fips (47,2%), go-fips (33,8%), redis-fips (33,1%), además de componentes de plataforma como istio-pilot-fips, istio-proxy-fips y variantes de cert-manager. Incluso aparecen bibliotecas de soporte y bases de cifrado, como glibc-openssl-fips.
CVE: La popularidad no se corresponde con el riesgo
Al examinar el catálogo de imágenes de Chainguard, el riesgo se concentra abrumadoramente fuera de las imágenes más populares. De los CVE que Chainguard corrigió en los últimos tres meses, 214 se produjeron en las 20 imágenes principales, lo que representa solo el 2% del total de CVE. Si analizamos más allá de esas imágenes principales, encontraremos el 98% restante de los CVE corregidos (10.785 instancias de CVE). ¡Eso es 50 veces la cantidad de CVE en las 20 imágenes principales!
El mayor volumen de CVE se clasifica como medio, pero la urgencia operativa a menudo depende de la rapidez con la que se abordan los CVE críticos y altos, y de si los clientes pueden confiar en esa velocidad en todo su portafolio, no solo en las imágenes más comunes.
La confianza se basa en la velocidad de corrección
Durante el período de tres meses analizado, el equipo logró un tiempo promedio de remediación de CVE críticos inferior a 20 horas. El 63,5% de los CVE críticos se resolvieron en 24 horas, el 97,6% en dos días y el 100% en tres días.
En la cola larga es donde se esconde la mayor parte de la exposición real, y puede resultar imposible mantenerse al día. La mayoría de las organizaciones simplemente no pueden asignar recursos para corregir vulnerabilidades en paquetes que no pertenecen a su pila principal, pero los datos dejan claro que es necesario asegurar la "mayoría silenciosa" de la cadena de suministro de software con el mismo rigor que las cargas de trabajo más críticas.
Un punto de referencia para el código abierto confiable
En los datos, una conclusión destaca: el software moderno se basa en una amplia y cambiante cartera de componentes de código abierto, la mayoría de los cuales se encuentran fuera de las 20 imágenes más populares. No es ahí donde los desarrolladores invierten su tiempo, pero sí donde se acumula la mayor parte del riesgo de seguridad y cumplimiento.
Esto crea una desconexión preocupante: es lógico que los equipos de ingeniería se centren en el pequeño conjunto de proyectos que más importan para su pila, pero la mayor parte de la exposición reside en el amplio conjunto de dependencias que no tienen tiempo de gestionar.
Fuente: Chainguard
Vía
http://blog.segu-info.com.ar/2026/01/informe-el-estado-del-codigo-abierto.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.