Nuevo estudio de seguridad empresarial de código abierto

Un estudio de The Linux Foundation en colaboración con la firma de seguridad de seguridad de código abierto Snyk fue noticia en algunos medios relacionados y no tan relacionados, por decir lo menos, con respecto al modelo de desarrollo y su impacto no solo en la seguridad del software, sino en la percepción y interpretación.

Como en todos estos estudios, la información aquí incluida se basa en una serie de entrevistas a profesionales de la industria, en concreto a 550 desarrolladores de empresas de varios tamaños, a quienes se les preguntó sobre las políticas de seguridad que han implementado en sus empresas. en relación con el software de código abierto que utilizan? ¿Cuál es su percepción sobre este tema?

Todo es un poco más complicado de lo que parece a simple vista: menos de la mitad (49%) de los participantes trabaja en empresas que no cuentan con políticas de seguridad para el desarrollo de software libre y en la mayoría de ellas (30%), no ni siquiera es una persona responsable de esta área. ¿Pero no es el código abierto tan seguro? ¿De qué preocuparse?

El factor percepción siempre ha sido muy relevante en el campo del código abierto debido a las características inherentes al modelo conocido como «ley de Linus», interpretado por el fundador de Open Source Initiative (OSI) y autor del clásico libro «The La catedral y el bazar, Eric S. Raymond: con suficiente cantidad de bichos oculares salen a la superficie. Por supuesto, esta «ley» solo funciona si alguien está mirando, recuerda en  ZDnet .

También existe esa otra «Ley» de Linus que dice que un error es un error, ya sea que afecte la seguridad o cualquier otra cosa, aunque esto se habla menos comúnmente. Sin embargo, se aplica de la misma manera porque, después de todo, la mayoría de los ojos en los proyectos de código abierto no suelen buscar fallas de seguridad.

¿Dónde está la percepción en la investigación de The Linux Foundation y Snyk? Casi la mitad de los encuestados (41 %) no confían en el código abierto cuando se trata de seguridad, mientras que un porcentaje mayor adopta una posición radicalmente opuesta, afirmando que el código abierto que utilizan es muy o extremadamente seguro. ¿En qué se basa cada grupo para posicionarse de una forma u otra?

Lo cierto es que no queda claro, aunque posiciones tan contrapuestas dan que pensar. En primer lugar, son profesionales que entienden la teoría de cómo funciona el desarrollo de software de código abierto, en la que, efectivamente, los ojos que ven son de vital importancia. Pero no es lo mismo un proyecto como el kernel de Linux utilizado por muchas grandes empresas y organizaciones de todo el mundo, que una dependencia específica del mismo o un proyecto mucho más pequeño.

Sea como fuere, es un hecho que el código abierto por su propia naturaleza ofrece una capa adicional de seguridad sobre el software propietario, un nivel de transparencia que puede ser muy útil en muchos casos, pero también perjudicial en muchos otros, suavizando irresponsables decisiones por el bien de «alguien lo verá y lo arreglará», para no preocuparse por el problema y salvar algo.

Por otro lado, es igualmente cierto que el mismo ecosistema open source lleva varios años cambiando la mentalidad, centrándose más  en los componentes más utilizados ,   esforzándose más por descubrir vulnerabilidades ,   financiando mejoras  y liderando  otro tipo de iniciativas  en la misma dirección. Se ha hecho mucho en torno a Linux y el software de código abierto más popular en el mundo de los negocios, y los frutos ya están ahí.

Atención, desplácese para continuar leyendo

Así, se reconoce, por ejemplo, que  Linux corrige sus fallas de seguridad más rápido que Apple y Microsoft  , y si bien hay quienes afirman con razón que el número de fallas de este tipo es mucho mayor en Linux o en el código abierto en general, lo cual es cierto, también por la transparencia del modelo. Sin embargo, cada vez es más claro que la transparencia no es suficiente para garantizar un entorno seguro.

Y es que las vulnerabilidades son habituales en todo tipo de software, independientemente del modelo sobre el que se desarrolle, y si bien el código abierto tiene sus ventajas, no está exento de los mismos problemas a los que se ha enfrentado la industria. lidiar con décadas: es muy importante preocuparse por la seguridad sin trasladarla a terceros.

En cuanto al estudio, aporta otros datos interesantes, señalando, por ejemplo, las vulnerabilidades que se suelen encontrar en la aplicación media, el tipo de respuesta, o las herramientas que se incluyen en el proceso, pero el énfasis en Perception es uno de ellos. los puntos clave a los que vale la pena prestar atención.

Para ver el estudio completo, puede seguir  este enlace  (PDF).