El proyecto OpenSSF: la seguridad que estabas esperando

La seguridad siempre ha sido una inversión que tiende a tener más sentido en retrospectiva que en la planificación. Más recientemente, a medida que las violaciones de seguridad se han vuelto la norma diaria en lugar de la excepción ocasional, las empresas y los proyectos de código abierto han comenzado a dar prioridad a la seguridad, aunque aún es discutible que esté faltando en nuestros procesos de desarrollo de software.

Índice de Contenido
  1. El problema de abordar la seguridad de manera fragmentada
  2. Las noticias detrás de las noticias

El problema de abordar la seguridad de manera fragmentada

El enfoque actual sigue siendo atomístico y fragmentado. Como se señala en un artículo reciente de ZDNet, "El estado de la seguridad es enormemente desigual en toda la industria, con una seguridad bastante buena en algunos de los principales proveedores, pero la gran mayoría... carece de inversiones básicas en seguridad". Esto no comprende el punto. La seguridad no es algo que una sola empresa o proyecto pueda hacer por sí solo. Es inherentemente un asunto de comunidad.

Es por eso que encuentro alentadoras algunas noticias recientes de la Linux Foundation (LF)... precisamente porque no se trata solo de la Linux Foundation.

Las noticias detrás de las noticias

Se anunciaron dos cosas. Primero, la Open Source Security Foundation (OpenSSF), que opera bajo la LF, ha añadido otros 20 miembros a su lista. ¿Qué hacen estos miembros? Ostensiblemente, "ayudan a identificar y solucionar vulnerabilidades de seguridad en software de código abierto y desarrollar herramientas, capacitación, investigación, mejores prácticas y prácticas de divulgación de vulnerabilidades mejoradas". En la práctica, muchas de estas empresas simplemente quieren señalar su preocupación por la seguridad, pero también se obtienen beneficios reales de tales organizaciones.

Por ejemplo, asumiría que aunque la OpenSSF ahora cuenta con un total de 60 miembros, lo más probable es que algunos miembros clave (piense en Google y Microsoft en este caso) asignen desarrolladores para colaborar estrechamente con otros miembros de OpenSSF para mejorar la seguridad en proyectos de código abierto particulares y evitar escenarios como la vulnerabilidad Log4j.

En otras palabras, algunas organizaciones pueden permitirse invertir en seguridad y tienen los recursos expertos para hacerlo. Todos se benefician cuando comparten esa información abiertamente en un foro comunitario.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El segundo aspecto del anuncio de la LF es posiblemente aún más interesante. OpenSSF también anunció el Proyecto Alpha-Omega, un proyecto que intenta identificar todas las bibliotecas y paquetes de software de código abierto más críticos y fundamentales del mundo, auditarlos y apoyarlos según sea necesario. Según el comunicado:

"El proyecto mejora la seguridad global de la cadena de suministro de software de código abierto trabajando con los mantenedores del proyecto para buscar sistemáticamente nuevas vulnerabilidades aún no descubiertas en el código de código abierto y solucionarlas. "Alpha" trabajará con los mantenedores de los proyectos de código abierto más críticos para ayudarlos a identificar y solucionar vulnerabilidades de seguridad y mejorar su postura de seguridad. "Omega" identificará al menos 10.000 proyectos de código abierto ampliamente desplegados donde se pueda aplicar análisis de seguridad automatizados, puntuaciones y orientación de mitigación a las comunidades de mantenedores de código abierto".

Fundado con $5 millones iniciales de Microsoft y Google, y respaldado por la Universidad de Harvard y la LF, este censo de proyectos de código abierto ayuda a las empresas a reunir su lista de componentes de software, según lo ordena la orden ejecutiva de los Estados Unidos. Tal como señalan los autores del censo, las listas que han compilado "representan nuestra mejor estimación de qué paquetes de software de código abierto son los más utilizados por diferentes aplicaciones, dados los límites de tiempo y los datos amplios pero no exhaustivos que hemos recopilado".

Es un comienzo impresionante para el trabajo tan necesario, y no se enfoca en los proyectos de software de ninguna organización en particular.

Y esa es la verdadera noticia. No es la orden ejecutiva. No es la participación de Google/Microsoft. Incluso no es la LF abordando iniciativas interindustriales. No, la verdadera noticia es que la seguridad es más grande que cualquier organización comercial como la LF. ¿Esos 10,000 proyectos de código abierto a los que la LF está ayudando a catalogar? La mayoría no está bajo la purview de la LF. Tampoco de Google. Ni de Microsoft. Ni de [inserte el nombre de cualquier organización].

La seguridad afecta a todos, pero hemos intentado abordarla de manera fragmentada. De acuerdo con una publicación escrita por Frank Nagle, líder del Proyecto Alpha-Omega y profesor de Harvard, se necesita mucho trabajo para mejorar la postura de seguridad del software de código abierto en todos los proyectos. Por ejemplo, no hay un esquema de nomenclatura estándar en los proyectos de código abierto, lo que lleva a la confusión: "No hay un órgano centralizado para coordinar los nombres de los componentes de código abierto, por lo tanto, puede haber varios componentes que tengan el mismo nombre pero no sean el mismo componente". Hemos demostrado que los desarrolladores de código abierto pueden solucionar problemas rápidamente cuando surgen (quizás más rápido que cualquier otra persona), pero ¿podemos unirnos para estructurar proyectos de manera similar de modo que se puedan evitar algunos problemas de seguridad innecesarios?

Cómo proteger tu computadora de los virus: métodos y consejos

Alpha-Omega es un excelente comienzo para tratar de resolver estos problemas en toda la industria, en lugar de hacerlo en partes. Después de Heartbleed, teníamos ambiciones similares para abordar nuestros problemas de seguridad. Esperemos que esta vez sea realmente diferente... y comunitario.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El proyecto OpenSSF: la seguridad que estabas esperando , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.