La comunidad del software de código abierto necesita ayuda en materia de seguridad
- Gestión de apps
La única manera de lograr mejoras significativas en el estado de la seguridad del código abierto es si más organizaciones que se benefician de los proyectos de código abierto se comprometen a poner más recursos a disposición para lograr ese objetivo.
Organizaciones de todos los tamaños se benefician ahora del software de código abierto, ya sea directa o indirectamente. Esas organizaciones tienen la responsabilidad de participar en el desarrollo de ese software de cualquier manera que pueda.
Esos esfuerzos no tienen por qué implicar necesariamente la aportación de código real. Muchos proyectos de código abierto necesitan ayuda para la documentación y las pruebas, porque el número de encargados del mantenimiento real del proyecto es relativamente pequeño.
El reto es que muchas organizaciones informáticas empresariales no saben cómo participar en los procesos de desarrollo de software de código abierto. Una organización puede descargar una pieza de software de código abierto y luego ampliarla. En lugar de seguir manteniendo esa rama por su cuenta, las organizaciones deberían contribuir con ese código al proyecto para reducir la carga general de TI de los mantenedores.
Está claro que las organizaciones necesitan hacer que la contribución de código de vuelta a los proyectos de software de código abierto sea una extensión natural de sus flujos de trabajo DevOps. Mientras tanto, la Open Source Security Foundation (OpenSSF), una rama de la Linux Foundation, se está centrando en 10 flujos de inversión que, en total, requerirían más de 150 millones de dólares de financiación para impulsar una mayor adopción de las mejores prácticas de DevSecOps entre los mantenedores de proyectos de software de código abierto.
El problema principal es que muchos de esos proyectos son mantenidos por un pequeño número de programadores que contribuyen voluntariamente con su tiempo y esfuerzo a construir componentes que otros pueden utilizar libremente. Al igual que cualquier otro desarrollador, los conocimientos de seguridad de estas personas son limitados. La responsabilidad de garantizar que los proyectos y el software sean seguros recae en las organizaciones que deciden desplegar ese software.
Por desgracia, muchos proveedores de TI y grandes organizaciones de TI empresariales reutilizan ese código sin aportar nada significativo al proyecto, ya sea en términos de financiación o de ayuda a los mantenedores del código abierto para encontrar y corregir vulnerabilidades.
No está claro hasta qué punto los líderes empresariales y de TI se dan cuenta de la dependencia real de sus organizaciones del software de código abierto. Muchos de ellos asumen que los proyectos de código abierto cuentan con el apoyo de los proveedores de TI cuando, en realidad, hay muchos proyectos que dependen de los esfuerzos de un pequeño puñado de desarrolladores que ofrecen voluntariamente su tiempo y habilidades.
Muchas organizaciones, por supuesto, pueden decidir pronto no emplear software de código abierto si no tienen una masa crítica de desarrolladores trabajando en él. Sin embargo, en una era en la que los equipos de DevOps y los desarrolladores descargan software de forma rutinaria, hacer cumplir esas políticas va a ser problemático. Lo mejor que pueden hacer las organizaciones de TI empresariales es comprometerse más con la comunidad de software de código abierto en lugar de menos.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.