Evite los daños de WannaCry, Petya, & Co.
SAP HotNews, SAP TopNotes, SAP Security Notes y SAP Legal Change Notes ayudan a las decenas de miles de clientes de SAP a evitar proactivamente problemas y riesgos o a resolverlos lo antes posible.
Incluso en el caso de las aplicaciones móviles, los usuarios suelen ser informados automáticamente de las nuevas versiones de las aplicaciones que no sólo amplían la funcionalidad, sino que también resuelven problemas conocidos y cierran brechas de seguridad. Por desgracia, esto no ocurre con la mayoría de los componentes de código abierto.
Amenazas más allá del radar
Aquí, la prensa especializada y diaria sólo suele informar y alertar sobre las amenazas actuales cuando ya se han visto afectados cientos de miles de sistemas y/o se han producido daños importantes.
Los desarrolladores de software tienen que informarse sobre las versiones actuales y nuevas y activarse de forma tediosa y lenta. Esto resulta aún más difícil cuando los propios componentes de código abierto están integrados en otros componentes, como suele ser el caso.
Por lo tanto, en contraste con los casos "prominentemente" presentados de WannaCry y Petya, la mayoría de las amenazas verdaderamente críticas ni siquiera están en el radar de la mayoría de los administradores de TI.
Ejemplos actuales
"Spring" es uno de los marcos de trabajo de Java más utilizados. Es probable que pocas empresas de la comunidad SAP utilicen Java sin Spring, y más de 10.000 paquetes de software de código abierto se basan en él. La versión 4.3.4 se publicó hace sólo ocho meses, pero es vulnerable y, por tanto, una importante puerta de entrada para posibles atacantes.
Struts2" también se utiliza ampliamente, por ejemplo con SAP CrystalReports, el SAP JCO, jQuery, y está muy en peligro de extinción.
Casi ninguna aplicación Java no utiliza "Apache Common Beanutils", por ejemplo en el entorno SAP Hana Cloud. En este caso, prácticamente todas las versiones anteriores a la 1.9.2 son vulnerables y, por tanto, suponen un riesgo para los usuarios.
La buena noticia: existe una solución de supervisión automática y gratuita. VersionEye, de la start-up del mismo nombre con sede en Mannheim, ofrece una especie de "OpenSourceNotes" como complemento del ya consolidado "SAPnotes" y es ella misma 100 por cien de código abierto (bajo licencia MIT).
En la actualidad, ya se controlan más de 1,4 millones de proyectos de código abierto desarrollados en 16 lenguajes de programación diferentes, como Java, Java-Script, PHP y "R" (el lenguaje importante para Hana).
Más de 45.000 usuarios registrados y 500.000 visitantes mensuales (en todo el mundo) utilizan ya este servicio para minimizar activamente los riesgos del software de código abierto.
VersionEye informa de forma automática y activa 24 x 7 sobre nuevas versiones de componentes de código abierto ("Notas de versión"), posibles problemas de licencia ("Notas de licencia") y riesgos de seguridad ("Notas de seguridad").
Y no según el "principio de la escopeta", sino específicamente sólo para los componentes de código abierto realmente afectados y también utilizados por el usuario.
Fabricado en Alemania y gratuito
A diferencia de otros servicios similares, caros y patentados en EE.UU., no se transfiere ningún código del cliente a servidores en EE.UU. Dado que el propio VersionEye es un software 100 % de código abierto, la solución es totalmente transparente y puede analizarse y también adaptarse en caso necesario.
Se ofrecen servicios empresariales para la aplicación de las mejores prácticas en el uso del código abierto en el ecosistema SAP, la integración sin fisuras en entornos empresariales y los acuerdos de nivel de servicio. Entre los clientes empresariales figuran Blinkist, Seeburger y Xing.
