Spanish English Eesti French German Italian Portuguese
Marketing Social
InicioGeneralCyberseguridadCómo hacer que el software de código abierto sea más seguro

Cómo hacer que el software de código abierto sea más seguro

A principios de este año, un desarrollador de Microsoft se dio cuenta de que alguien había insertado una puerta trasera en el código de la utilidad de código abierto XZ Utils, que se utiliza en prácticamente todos los sistemas operativos Linux.

La operación había comenzado dos años antes cuando alguien, una persona apodada JiaT75, comenzó a contribuir al repositorio XZ Utils en GitHub. Un experto en ciberseguridad calificó este ataque como un “escenario de pesadilla” y “el ataque a la cadena de suministro mejor ejecutado que hemos visto”.

El ataque, que siguió a otros incidentes de ciberseguridad bien conocidos que involucraron software de código abierto como Heartbleed, Shellshock y Log4j, fue otro claro recordatorio de que el software de código abierto, dada su extensión, puede plantear importantes riesgos de seguridad.

Bogomil Balkansky, socio de Sequoia Capital, Aeva Black, jefa de la sección de seguridad de código abierto de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. y Luis Villa, cofundador de Tidelift, en una mesa redonda discutieron sobre los desafíos de proteger el software de código abierto.

“Me gusta decir que el código abierto no es gratuito como la pizza. Es gratis como un cachorro. Si lo llevas a casa y no lo alimentas, se comerá tus muebles y tus zapatos”, dijo Black.

Balkansky llamó al software de código abierto el “elemento vital del software”, lo que lo hace “fundamental e integrado en todo”. El problema, añadió Balkansky, es que “el modelo de negocio para el código abierto todavía está en progreso”.

Entonces, ¿quién debería prestarle atención y pagar para asegurarlo?

Villa y su equipo en Tidelift proponen un modelo en el que la empresa paga a los mantenedores de código abierto para que cuiden su código y a los socios para corregir las vulnerabilidades.

CISA, explicó Black, ahora se está involucrando lanzando iniciativas para decirle a las empresas cuáles son las mejores: y las peores prácticas de seguridad cuando se trata de implementar software de código abierto. “Estamos aquí para participar como miembro de la comunidad de código abierto y trabajar con ellos”, dijo Black, quien cree que el software de código abierto es un bien público.

En términos de cómo seguir adelante, Balkansky dijo que “la solución a la seguridad de código abierto, al menos hasta cierto punto, también debe ser de código abierto” y advirtió que “no existen soluciones milagrosas”.

Villa dijo que se necesitan “múltiples enfoques” y “defensa en profundidad”, lo que significa que se necesitan varias capas de seguridad para proteger el ecosistema de código abierto.

Black añadió que los creadores de software necesitan saber qué software de código abierto se encuentra en sus productos. “Necesitamos una mejor participación para permitir que todos puedan hacerlo con menos esfuerzo y menos carga para los mantenedores voluntarios individuales y las organizaciones sin fines de lucro”.

RELACIONADOS

SUSCRÍBETE A TRPLANE.COM

Publica en TRPlane.com

Si tienes alguna historia interesante sobre transformación, IT, digital, etc con cabida en TRPlane.com por favor envíanosla y la compartiremos con toda la Comunidad

MÁS PUBLICACIONES

Activar Notificaciones OK No gracias