Cuando se trata de seguridad, el enfoque general siempre ha sido restringir el acceso para evitar la intrusión no autorizada en algo.
Ya sea cerrar las puertas físicas de una casa o sellar la red digital de una organización, la seguridad siempre se ha centrado en crear un entorno cerrado. Sin embargo, en los últimos años, este enfoque de seguridad a puertas cerradas se ha visto desafiado por la llegada del software y el hardware de código abierto, donde las organizaciones confían en el código disponible públicamente para implementar dentro de sus redes y crear aplicaciones.
La evolución del código abierto
El código abierto involucra a organizaciones que utilizan código abierto y disponible gratuitamente y se ha vuelto cada vez más popular en la actualidad, con datos recientes del Informe de análisis de riesgo y seguridad de código abierto de Synopsys que revelan que el 78% del código en las bases de código hoy en día es de código abierto. Al pensar en los beneficios del código abierto, no solo el código es de uso gratuito, sino que ofrece a las organizaciones más transparencia porque pueden ver el código fuente que están utilizando y evaluar su seguridad por sí mismos.
También pueden ver los cambios realizados en el código y colaborar con los desarrolladores para mejorarlo. Además, debido a que muchas organizaciones utilizan la misma pieza de código, los errores y las debilidades a menudo se identifican más rápido y la comunidad de usuarios brindará asesoramiento experto para remediarlo. Esto significa que hay más buenos ojos en el código, todos motivados por el mismo objetivo de hacerlo lo más seguro posible.
Una de las organizaciones más destacadas que respalda el código abierto es Tesla, con su CEO, Elon Musk, optando por abrir su código en 2018. Musk reconoció que el futuro del mundo dependerá en gran medida de los autos eléctricos, pero para que los vehículos tengan éxito. , la gente necesitaba invertir en su seguridad. En respuesta, Musk abrió el software de Tesla, lo que permitió a otros construir sus autos sobre sus cimientos, confiando en su seguridad.
Musk estaba siguiendo los pasos de muchas otras organizaciones, incluidas Facebook, Microsoft y Google, que habían cosechado beneficios a través de proyectos de código abierto. Estos líderes tecnológicos no solo están abriendo sus redes a los investigadores de seguridad a través de recompensas de errores y evaluaciones de seguridad, sino que también están financiando proyectos de código abierto y tienen equipos dedicados a iniciativas de código abierto. "El programa Digital Security by Design (DSbD) actualizará radicalmente la base de la infraestructura informática digital insegura mediante la creación de un nuevo ecosistema de hardware y software más seguro".
Por ejemplo, el programa Digital Security by Design (DSbD) actualizará radicalmente la base de la infraestructura informática digital insegura mediante la creación de un nuevo ecosistema de hardware y software más seguro. El programa DSbD ya entregó la primera implementación de hardware de la tecnología DSbD como prototipo de sistema en chip (SoC) y placa de desarrollo, Morello. Desarrollada por Arm, con sede en el Reino Unido, la placa Morello es una plataforma de prueba del mundo real para la arquitectura prototipo de Morello desarrollada por Arm, basada en el modelo de protección CHERI de University of Cambridge Computer Lab.
CHERI tiene como objetivo proporcionar un rendimiento y una compatibilidad implementables en la práctica, lo que requiere solo cambios mínimos en el software y el hardware existentes: la recompilación de C/C++ existente, con una leve adaptación, puede proteger los punteros con capacidades. Esto combina la implementación de hardware, una pila de software completa y la adaptación de software de código abierto ampliamente utilizado para mejorar la seguridad y fomentar las pruebas.
La mentalidad de código abierto es algo que la industria de la aviación ha reconocido durante años. Cuando ocurren incidentes de aviación, las aerolíneas no se esconden detrás de ellos; en cambio, toda la industria de la aviación trabaja en conjunto para investigar el incidente y construir aviones más seguros. Este espíritu comunitario ha llevado a que los viajes aéreos sean el medio de transporte más seguro en la actualidad.
Sin embargo, ciertamente no está libre de riesgos. Entonces, ¿cuáles son los riesgos clave y cómo se pueden superar?
Riesgos de código abierto
Uno de los mayores riesgos del código abierto es cuando no se administra o actualiza con frecuencia, lo que puede poner en riesgo a sus usuarios. Si bien los usuarios del software de código abierto de Tesla pueden estar seguros de que su código se administrará a fondo, para los desarrolladores más pequeños e inexpertos, este no es siempre el caso, especialmente porque están regalando algo.
Si el código no está actualizado y nadie es responsable de actualizarlo, nadie puede ser responsable cuando las cosas van mal. Al final, terminará plagado de errores y vulnerabilidades que pondrán a sus usuarios en grave riesgo. De hecho, el informe reciente de Synopsys OSSRA reveló que el 81 % del código fuente abierto contiene vulnerabilidades.
Como resultado, cuando las organizaciones evalúan software y hardware de código abierto, es fundamental llevar a cabo la debida diligencia y analizar la calidad del producto y conocer a las personas que lo crearon antes de introducirlo en la arquitectura de una organización. Averigüe quién está a cargo de modificar y actualizar el código y asegúrese de que tenga los recursos, el compromiso y el tiempo para realizar las actualizaciones de seguridad esenciales; de lo contrario, los riesgos sin duda se desarrollarán en el futuro.
Esta es también una de las principales razones por las que los gobiernos de todo el mundo están evaluando el código abierto y considerando regular la industria . Las regulaciones propuestas garantizarían que los proyectos de código abierto tengan propietarios y que sean responsables de las actualizaciones. Sin embargo, esto podría obstaculizar el mercado con menos desarrolladores que deseen ingresar al código abierto debido a posibles infracciones de la regulación.
Avanzando con el código abierto
El código abierto ofrece beneficios de seguridad reales a las organizaciones al reunir la experiencia de diferentes fuentes para desarrollar productos mejores y más seguros. Sin embargo, las organizaciones deben investigar antes de implementar código fuente abierto en sus redes.
También es fundamental que las organizaciones cuenten con un administrador interno para garantizar que se mantenga la seguridad y que las actualizaciones se realicen rápidamente. Los desarrolladores que entienden la seguridad de código abierto y cómo administrar los componentes de código abierto son las mejores personas para administrar proyectos internos de código abierto.
Entonces, ¿es el código abierto el mejor camino hacia la seguridad? Todo depende del proyecto, pero ciertamente ofrece a las empresas muchos beneficios de seguridad insuperables cuando se hace bien.
Fuente: infosecurity | somoslibres
