Las vulnerabilidades en el ciclo de vida del desarrollo de software de código abierto pueden comenzar a partir de pequeñas migajas pero convertirse en problemas sustanciales.
La conferencia virtual y en persona de KubeCon + CloudNativeCon North America de esta semana puso la seguridad para el desarrollo de código abierto nuevamente en el centro de atención y también habló del rápido aumento de los nativos de la nube.
Pryanka Sharma, gerente general de Cloud Native Computing Foundation (CNCF), la anfitriona del evento; Jim Zemlin, director ejecutivo de la Fundación Linux; y Bryan Behlendorf, director general de Open Source Security Foundation (OpenSSF), hablaron con analistas y prensa sobre la trayectoria y la escala de la adopción nativa de la nube. También presentaron las formas en que sus equipos apuntan a mejorar los dilemas de seguridad relacionados con el desarrollo de código abierto en este espacio.
Sharma dijo que CNCF, una rama de la Fundación Linux, incluye unos 114 proyectos, con más de 138.000 contribuyentes individuales de más de 86 países. El crecimiento de CNCF está naturalmente ligado al aumento del apetito por el desarrollo y la implementación nativos de la nube entre las organizaciones. “Las cosas se están moviendo muy rápido para nuestro ecosistema”, dijo. "Todas las empresas se están convirtiendo en empresas de tecnología y están adoptando el paradigma de la nube nativa".
Los proyectos nativos de la nube de código abierto que son incubados, graduados y aprobados por el CNCF, están listos para su uso empresarial en la producción a cualquier escala, dijo Sharma. "Creemos que ayudarán a todas las empresas con sus implementaciones y cargas de trabajo".
El ritmo del desarrollo de código abierto continúa acelerándose, dijo Zemlin, encontrando su camino en la mayoría de los productos o servicios de tecnología, "El código abierto ahora, 30 años después de Linux, es la forma dominante de cómo se desarrolla el software", dijo. "Realmente constituye la mayor parte de cualquier aplicación moderna".
El código abierto ha impulsado la innovación y fomentado la eficiencia en la transformación digital, dijo Zemlin. Permite a las organizaciones enfocarse en el código propietario que es su “salsa secreta” para las necesidades comerciales más vitales, dijo, mientras usa marcos abiertos como bloques de construcción para el resto.
Asegurar el código de fuente abierta
Aún quedan grandes desafíos por delante para las comunidades de innovación abierta, dijo Zemlin, por lo que la Fundación Linux recaudó $ 10 millones adicionales para la Fundación de Seguridad de Código Abierto, que está completando su primer año de operación. “Creemos que la ciberseguridad es uno de los desafíos más inmediatos en el código abierto que se puede abordar de manera bastante sistemática; nunca se resolverá perfectamente ”, dijo.
Si hubiera más inversión en toda la cadena de suministro de software global relacionada con las mejoras de seguridad de referencia para el código abierto, Zemlin dijo que podría haber resultados sustanciales para la industria y la sociedad.
Hay crecientes esfuerzos para usar el código abierto para resolver grandes problemas sociales, dijo Zemlin, incluso al inicio de la pandemia, tratando de trabajar en formas que respeten la privacidad para ofrecer sistemas de notificación de exposición y rastreo de contratos. “El código abierto ha tenido un gran impacto en la industria y en la forma en que creamos software. Queremos llevarlo al siguiente nivel en el que podamos usarlo para abordar cuestiones como el cambio climático, como la salud pública ”.
Behlendorf dijo que la nueva financiación para OpenSSF podría tener un efecto exponencial en la reducción del riesgo. El auge del código de fuente abierta ha traído una avalancha de componentes a las pilas de software moderno, dijo, así como la posibilidad de más dolores de cabeza. “No se trata solo de grandes lanzamientos”, dijo. “Son todos estos pequeños módulos MPM (multiprocesamiento). Cosas como el pad izquierdo ".
Esa fue una referencia a la interrupción temporal, pero generalizada, en 2016 de Internet cuando un marco de uso frecuente llamado left-pad no se publicó, rompiendo los paquetes de JavaScript en los que se basaban muchas páginas web. Con más iteraciones y distribuciones de código de fuente abierta de uso común, surge el potencial de interdependencia en las mismas pequeñas piezas de código. “La proliferación de estas cosas se está convirtiendo en un problema monstruoso para las organizaciones”, dijo Behlendorf. "Significa que tenemos que resolver ese problema para ese 90% del software".
Un problema monstruoso
Además de la dependencia de dicho código, puede haber otras vulnerabilidades en el ciclo de vida del desarrollo de software, dijo, aunque los desarrolladores podrían dar esto por sentado. "Tendemos a suponer que estamos construyendo sobre un conjunto de buenas y conocidas herramientas de desarrollo", dijo Behlendorf, "lo que ha llevado a que esto se convierta en el nuevo vector de ataque para compromisos importantes". Eso incluye malware y ataques de ingeniería social. Como resultado, las fallas en la confianza y los procesos pueden afectar los grandes proyectos de código abierto hasta la larga cola de los proyectos, dijo.
La Open Source Security Foundation ha estado trabajando para elevar la educación de los desarrolladores, dijo Behlendorf, sobre prácticas seguras de desarrollo de software, uso de herramientas para identificar proyectos críticos y reinventar cómo funciona la identidad digital para los desarrolladores. El objetivo es lograr un cambio comparable a cómo Let's Encrypt llevó TLS (Transport Layer Security) a muchos sitios web y ayudó a cifrar la mayoría de la web, dijo.
Behlendorf dijo que existe la necesidad de actualizar cosas tales como los desarrolladores que buscan a tientas las claves PGP (Pretty Good Privacy) y los procesos ad hoc para firmar lanzamientos. Esas y otras preocupaciones llevaron a la formación e iniciativas de OpenSSF para cambiar los elementos de seguridad del código abierto. “Hay mucho trabajo por hacer en este espacio”, dijo. “Algo de esto se trata de escribir código; en parte, se trata simplemente de cómo reunimos los recursos existentes en esta comunidad ".
Fuente: informationweek.com