A principios de este año, un desarrollador de Microsoft se dio cuenta de que alguien había insertó una puerta trasera en el código de la utilidad de código abierto XZ Utils, que se utiliza en prácticamente todos los sistemas operativos Linux.
La operación había comenzado dos años antes cuando alguien, una persona apodada JiaT75, comenzó a contribuir al repositorio XZ Utils en GitHub. Un experto en ciberseguridad calificó este ataque como un “escenario de pesadilla” y “el ataque a la cadena de suministro mejor ejecutado que hemos visto”.
El ataque, que siguió a otros incidentes de ciberseguridad bien conocidos que involucraron software de código abierto como Sangrado del corazón, Neurosis de guerray Log4jfue otro claro recordatorio de que el software de código abierto, dada su extensión, puede plantear importantes riesgos de seguridad.
En TechCrunch interrumpe 2024Bogomil Balkansky, socio de Sequoia Capital; Aeva Black, jefa de la sección de seguridad de código abierto de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.; y Luis Villa, cofundador de Tidelift, se sentaron a discutir los desafíos de proteger el software de código abierto.
“Me gusta decir que el código abierto no es gratuito como la pizza. Es gratis como un cachorro. Si lo llevas a casa y no lo alimentas, se comerá tus muebles y tus zapatos”, dijo Black.
Balkansky llamó al software de código abierto el “elemento vital del software”, lo que lo hace “fundamental e integrado en todo”. El problema, añadió Balkansky, es que “el modelo de negocio para el código abierto todavía está en progreso”.
Entonces, ¿quién debería cuidarlo y pagar para asegurarlo?
Villa y su equipo en Tidelift proponen un modelo en el que la empresa paga a los mantenedores de código abierto para que cuiden su código y a los socios para corregir las vulnerabilidades.
CISA, explicó Black, ahora se está involucrandolanzando iniciativas para decirle a las empresas cuáles son las mejores: y lo peor – prácticas de seguridad cuando se trata de implementar software de código abierto. “Estamos aquí para participar como miembro de la comunidad de código abierto y trabajar con ellos”, dijo Black, quien cree que el software de código abierto es un bien público.
En términos de cómo seguir adelante, Balkansky dijo que “la solución a la seguridad de código abierto, al menos hasta cierto punto, también debe ser de código abierto” y advirtió que “no existen soluciones milagrosas”.
Villa dijo que se necesitan “múltiples enfoques” y “defensa en profundidad”, lo que significa que se necesitan varias capas de seguridad para proteger el ecosistema de código abierto.
Y Black dijo que los creadores de software necesitan saber qué software de código abierto se encuentra en sus productos. “Necesitamos una mejor participación para permitir que todos puedan hacerlo con menos esfuerzo y menos carga para los mantenedores voluntarios individuales y las organizaciones sin fines de lucro”, dijo Black.
