¿Recuerdas los viejos tiempos del código abierto, cuando tu principal preocupación era si habías violado inadvertidamente una licencia o una pieza de propiedad intelectual? Y si lo hacías, en el peor de los casos tenías que entregar una parte de ese código de software a la comunidad de código abierto.
Esos días han pasado, por supuesto. O más bien, aunque el riesgo de hacer un mal uso del código abierto sigue existiendo, hay peligros mucho mayores, con sus correspondientes consecuencias.
Mucho más generalizado
Consideremos, por ejemplo, el virus Heartbleed del año pasado, posiblemente el momento más bajo del código abierto. Un error explotado en la biblioteca de criptografía OpenSSL afectó a cientos de millones de sitios web.
Otra característica de los «buenos tiempos» del código abierto es que no estaba tan extendido, especialmente entre las empresas, como ahora.
«En los últimos diez años, a pesar del riesgo para la propiedad intelectual, el código abierto se ha hecho muy popular debido a los menores costes de desarrollo, su velocidad de comercialización y su capacidad para añadir nuevas funcionalidades con rapidez», declaró a CMSWire Bill Ledingham, director de tecnología y vicepresidente ejecutivo de ingeniería de Black Duck Software.
En la actualidad, dijo, un tercio de la base de código utilizada en las empresas de la lista Fortune 500 puede atribuirse al código abierto.
Y esto es lo más sorprendente. Muchas de estas empresas hacen un seguimiento del uso del código abierto de forma manual, mediante una hoja de cálculo o algún otro proceso similar, dijo Ledingham.
«No ha habido mucha automatización en términos de comprensión y seguimiento del software de código abierto real que se utiliza en la empresa», añadió.
Una nueva oferta
Esa es la brecha que Black Duck está abordando con el lanzamiento de un nuevo producto, Black Duck Hub. La aplicación permitirá a los clientes identificar el código fuente abierto utilizado en sus sistemas de software y las vulnerabilidades de seguridad conocidas, así como clasificar, programar y hacer un seguimiento de la corrección.
Para ello, se ha asociado con Risk Based Security, integrando su VulnDBV en el Black Duck Hub, para obtener más información sobre las vulnerabilidades.
La VulnDB cuenta con información sobre más de 119.000 vulnerabilidades, a las que se suman 35.000 vulnerabilidades que no están incluidas en la Base de Datos Nacional de Vulnerabilidades.
Según Jake Kouns, CISO de Risk Based Security, «los recursos públicos de vulnerabilidad son incompletos y a menudo no informan de muchos de los problemas más importantes». «Por eso nos hemos centrado en proporcionar información más oportuna y detallada a través de nuestro servicio VulnDB».
Así es más o menos como funcionará el proceso para los usuarios finales, dijo Ledingham. El Black Duck Hub escaneará la base de código de la empresa. A continuación, crea una lista de los componentes que contiene la aplicación que se está escaneando, junto con los factores de riesgo asociados a los componentes y la solución que los acompaña. A continuación, se hace espuma, se aclara y se repite.
«La seguridad es un proceso continuo y se descubren nuevas vulnerabilidades todo el tiempo», afirma. Desde el devastador virus Heartbleed del año pasado, se han descubierto otras 32 vulnerabilidades sólo en OpenSSL, añade.
Dos tipos llamados Steve
De hecho, un examen más detallado de cómo se gestiona la seguridad en la comunidad de código abierto muestra por qué es así.
Las bases de código son desarrolladas y mantenidas y actualizadas por voluntarios nominalmente pagados en su mayor parte. Este punto se puso de manifiesto con Heartbleed, cuando quedó claro que la tarea de mantener este código esencial actualizado recaía en «dos tipos llamados Steve» -Steve Henson y Steve Marquess- en la Fundación OpenSSL, que recibían unos 2.000 dólares al año en donaciones.
La industria tecnológica, como sabemos, se lanzó a apuntalar OpenSSL con la creación de la Core Infrastructure Initiative, que financiará proyectos prioritarios como Network Time Protocol, OpenSSH y OpenSSL.