El apoyo a los proyectos ‘open source’, motivo de una cumbre en la Casa Blanca convocada para evitar casos como Log4Shell


Ayer les explicamos, luego de la amenaza del creador de Apache PLC4X de detener el mantenimiento de dicho paquete de software si no encontraba los medios para financiar su trabajo, que este era solo un caso más entre varios ejemplos recientes que revelan que abierto Los programadores de proyectos de origen están empezando a cansarse y quieren que empresas que se benefician de su trabajo gratuito empiecen a participar.

Ahora bien, sabemos que el grave problema de seguridad que supone la falta de apoyo humano y material a los desarrolladores de proyectos críticos de código abierto ha llamado mucho la atención de las más altas esferas debido a la propagación de la vulnerabilidad Log4Shell.

La Casa Blanca se sienta en la misma mesa entre la administración, la industria Big Tech y las entidades pro-open source

Tanto es así que la propia administración Biden reveló que ayer se realizó una cumbre en la Casa Blanca para discutir el problema. A declaración relevante, explica el motivo de su interés por desarrollar software «open source»:

«La mayoría de los principales paquetes de software incluyen código abierto, incluido el software utilizado por la comunidad de seguridad nacional. El software de código abierto ofrece un valor y desafíos de seguridad únicos debido a su amplitud de uso y la cantidad de voluntarios responsables del mantenimiento continuo de la seguridad.

Los asistentes a la cumbre revelan la variedad de intereses involucrados en este tema

  • Principales empresas tecnológicas: Google, Amazon, Apple, Facebook/Meta, IBM, Microsoft, Cloudflare, Akamai, VMWare, Oracle.

  • Organismos relacionados con el campo del software libre: Linux Foundation, Apache Software Foundation, Open Source Security Foundation, GitHub, RedHat.

  • Departamentos y agencias federales de EE. UU.: Defensa, Comercio, Energía, Seguridad Nacional, Agencia de Seguridad Cibernética e Infraestructura, Instituto Nacional de Estándares y Tecnología, Fundación Nacional de Ciencias, Oficina de Política Científica y Tecnológica, etc.


"Solo con software propietario hubiera sido imposible”: así ayudó Open Source en la investigación de Ingenuity on Mars

La discusión se centró en tres temas, según la propia Casa Blanca:

  • Prevención de vulnerabilidades en código y paquetes de software ‘oepn source’.

  • Proceso mejorado para encontrar defectos y corregirlos. [?] cómo priorizar los principales proyectos de código abierto y establecer mecanismos sostenibles para mantenerlos.

  • Reduzca los tiempos de respuesta para la distribución y distribución de arreglos.

Unas horas antes de asistir a la reunión, el jefe de seguridad de GitHub, Mike Hanley, publicó un mensaje en tu blog corporativo un artículo con reflexiones sobre el tema del encuentro:

«Las vulnerabilidades en el código fuente abierto pueden tener un efecto dominó global en los miles de millones de desarrolladores y servicios que dependen de él. […] Hemos visto cómo solo una o dos líneas de código vulnerable pueden afectar drásticamente la salud, la seguridad y la confiabilidad de sistemas completos en un abrir y cerrar de ojos.

Este no es un problema nuevo, como hemos visto con Heartbleed, pero los eventos recientes han resaltado dos formas en que la industria tecnológica puede unirse y ayudar: debe haber un esfuerzo colectivo para proteger la cadena de suministro de software. [y] Necesitamos apoyar mejor a los mantenedores de código abierto para que les resulte más fácil proteger sus proyectos».

Es bueno que una de las grandes potencias del mundo se dé cuenta de que lo que hacen los «cuatro perdedores» en su tiempo libre es, de hecho, la base de la infraestructura tecnológica del mundo, especialmente cuando se trata de servidores de Internet. Es aún mejor ver que comienza a actuar en consecuencia.



Fuente

Deja un comentario