Ayer te explicábamos, a raíz de la amenaza del creador de Apache PLC4X de dejar de mantener dicho paquete de software si no encontraba medios para financiar su trabajo, que éste sólo era un caso más entre varios ejemplos recientes que revelan que los programadores de proyectos 'open source' empiezan a estar hartos y quieren que las empresas que se benefician de su trabajo gratuito empiecen a arrimar el hombro.
Ahora, sabemos que el grave problema de seguridad que supone la falta de apoyo humano y material a los desarrolladores de proyectos críticos de código abierto ha llamado de verdad la atención de las altas esferas a raíz de la difusión de la vulnerabilidad Log4Shell.
La Casa Blanca sienta a la Administración, la industria Big Tech y entidades pro-código abierto en la misma mesa
Tanto, que la propia Administración Biden ha revelado que ayer tuvo lugar en la Casa Blanca una cumbre para discutir el problema. En el pertinente comunicado, explica la razón de su interés en el desarrollo del software 'open source':
"La mayoría de los principales paquetes de software incluyen código abierto, incluido el software utilizado por la comunidad de seguridad nacional. El software de código abierto aporta un valor único y tiene desafíos de seguridad únicos, debido a su amplitud de uso y la cantidad de voluntarios responsables de su mantenimiento de seguridad continuo".
Los participantes en la cumbre revelan la variedad de intereses implicados en esta problemática
- Grandes compañías tecnológicas: Google, Amazon, Apple, Facebook/Meta, IBM, Microsoft, Cloudflare, Akamai, VMWare, Oracle.
- Entidades vinculadas al ámbito del software libre: Linux Foundation, Apache Software Foundation, Open Source Security Foundation, GitHub, RedHat.
- Departamentos y agencias federales estadounidenses: Defensa, Comercio, Energía, Seguridad Nacional, Agencia de Ciberseguridad e Infraestructura de Seguridad, Instituto Nacional de Estándares y Tecnología, Fundación Nacional de Ciencias, Oficina de Política Científica y Tecnológica, etc.
La discusión se centró en tres temas, según la propia Casa Blanca:
- Prevención de vulnerabilidades en el código y los paquetes de software 'oepn source'.
- Mejora del proceso para encontrar defectos y corregirlos […] cómo priorizar los proyectos de código abierto más importantes y establecer mecanismos sostenibles para mantenerlos.
- Acortar el tiempo de respuesta para distribuir e implementar correcciones.
Unas horas antes de participar en la reunión, Mike Hanley, jefe de seguridad de GitHub, publicaba en su blog corporativo un artículo con reflexiones relativas al asunto de la reunión:
"Las vulnerabilidades en el código fuente abierto pueden tener un efecto dominó global sobre los miles de millones de desarrolladores y servicios que dependen del mismo. […] Hemos visto cómo solo una o dos líneas de código vulnerable pueden tener un impacto dramático en la salud, la seguridad y la fiabilidad de sistemas completos en un abrir y cerrar de ojos.
Esto no es un problema nuevo, como vimos con Heartbleed, pero los eventos recientes subrayaron dos formas en que la industria tecnológica puede unirse y ayudar: debe haber un esfuerzo colectivo para asegurar la cadena de suministro de software [y] necesitamos apoyar mejor a los mantenedores de código abierto para que sea más fácil para ellos asegurar sus proyectos".
Es bueno que una de las grandes potencias mundiales se dé cuenta de que lo que hacen 'cuatro frikis' en su tiempo libre constituye, en realidad, la base de la infraestructura tecnológica mundial, sobre todo en lo que respecta a los servidores de Internet. Es mejor aún ver que empieza a actuar en consecuencia.
Ver 4 comentarios