No hay duda de que el código abierto impulsa nuestros procesos de desarrollo, lo que permite a los desarrolladores de software crear productos innovadores y de alta calidad más rápido que nunca. Debido a que ya está codificado, por lo general bien probado y, por lo general, disponible de forma gratuita, OSS ofrece a los desarrolladores una forma saludable de comenzar con el desarrollo de dispositivos médicos.
Construido y respaldado por vastas comunidades de desarrolladores, OSS se ha convertido en el bloque de construcción omnipresente de dispositivos y aplicaciones en la comunidad de tecnología de la información en general, donde el 92% de las aplicaciones ahora contienen software de código abierto , y los dispositivos médicos se han puesto al día con esa tendencia en el pasado. pocos años.
Obtener rutinas y recursos fácilmente accesibles, como clases, funciones y protocolos de comunicación, es sin duda un impulso atractivo para los desarrolladores bajo presión para producir productos médicos completamente funcionales que cumplan con los cronogramas de entrega agresivos. ¿Por qué tomarse el tiempo de codificar desde cero si alguien ya ha escrito el código que necesita y está dispuesto a entregárselo sin cargo?
Pero el OSS también viene con su propio conjunto de riesgos que los fabricantes de dispositivos deben abordar mientras aprovechan sus muchas ventajas, porque cuando se trata de los dispositivos médicos de los que dependen nuestras vidas, una violación de datos o un bloqueo del sistema no es nada despreciable.
Riesgos del SFA
La visibilidad, la seguridad y el cumplimiento son fundamentales para administrar correctamente el OSS. Comprender estos tres factores ayudará a verificar que todo el OSS que adopte contribuirá al éxito de sus proyectos de dispositivos médicos sin exponer a su empresa, ni a sus pacientes, a un riesgo inaceptable.
Visibilidad
Obtener una visibilidad completa de todo el código implantado en los dispositivos es especialmente complicado para el código abierto. No es práctico realizar un examen manual completo de cada biblioteca cuando los dispositivos dependen de miles de líneas de código fuente abierto. Además, una biblioteca de código abierto podría estar incorporando cualquier cantidad de dependencias: otras bibliotecas de código abierto en una cadena potencialmente larga que también deben examinarse.
La seguridad cibernética
Con grandes comunidades en desarrollo y actualización, el OSS tiende a ser probado exhaustivamente, robusto y confiable. Pero el hecho de que se use ampliamente no significa que sea ciberseguro. Así como muchos dispositivos médicos todavía son operados por PC que utilizan Windows XP geriátrico, el código antiguo, abierto o no, podría haber nacido antes de los tiempos de escrutinio de la seguridad cibernética.
El código robusto no es necesariamente un código higiénico desde la perspectiva cibernética. Las infracciones pueden ocurrir porque una versión antigua de un OSS de componente de código abierto incuba una vulnerabilidad conocida que los piratas informáticos podrían explotar. Los ataques a dispositivos médicos, como bombas de insulina y desfibriladores cardioversores implantados , continúan perjudicando el funcionamiento de los dispositivos médicos. La administración de código abierto requiere un seguimiento continuo de las bibliotecas de código abierto y sus versiones, para garantizar que los dispositivos no contengan vulnerabilidades.
La aplicación de actualizaciones al código fuente abierto es otro problema grave de ciberseguridad. Si bien la comunidad de código abierto está actualizando el código tan incansablemente como un interno de hospital, no hay un impulso de actualización efectivo como el que experimentaría con Windows 11 o Salesforce. Las bibliotecas de código abierto no se actualizan por arte de magia y las actualizaciones de versión se pueden publicar en varios recursos de la comunidad de código abierto. Es imposible rastrear manualmente todas las bibliotecas de código abierto en una base de código y administrar los numerosos parches y actualizaciones de versiones.
Cumplimiento
El cumplimiento de la licencia es otro problema grave. El software de código abierto hace uso de licencias que ofrecen el uso del código fuente sin cargo. Sin embargo, hay muchas bibliotecas de este tipo que usan licencias que entran en conflicto entre sí en términos de permisos, requisitos y condiciones. Con más de 180 000 proyectos de código abierto disponibles y más de 1400 licencias únicas, comprender, y mucho menos administrar, las complejidades de todas estas licencias no es tarea fácil.
¡No es de extrañar que la industria de dispositivos médicos haya tardado en adoptar OSS!
La única forma de garantizar que los dispositivos médicos cumplan con todos los requisitos de licencia de código abierto es identificando y rastreando cuidadosamente todos los componentes de código abierto a lo largo de la vida útil de los dispositivos. Eso significa desde el desarrollo hasta la producción y los años de servicio en el hospital y la clínica.
Cómo rastrear el uso de código abierto en dispositivos médicos
Es necesaria una visibilidad completa de todo el OSS para administrarlo correctamente. Pero no hay forma de que pueda realizar un seguimiento manual de todas las líneas de código, su uso y dependencias de otros componentes de código abierto, sus actualizaciones y versiones, sus requisitos de licencia, su cumplimiento de las normas y sus vulnerabilidades en evolución.
La única forma de rastrear todas las bibliotecas de código abierto es automatizar el proceso y ejecutarlo continuamente. Cuando se trata de dispositivos conectados, lo mejor es optar por el análisis binario para garantizar todos los aspectos del software que conforma un dispositivo médico. El análisis binario puede identificar vulnerabilidades y riesgos de seguridad que podrían afectar el funcionamiento del dispositivo y a sus clientes. Examina automáticamente el código real utilizado en su software, lo que arroja una tasa de falsos positivos más baja y lo ayuda a concentrarse en las vulnerabilidades que son realmente relevantes para su producto.
Cybellum permite a las organizaciones mantener los productos y dispositivos que construyen en cumplimiento y seguros de por vida, desde el diseño hasta el desarrollo, la producción y más allá, incluidos todos sus componentes de código abierto.
Fuente: bleepingcomputer | somoslibres
