El software de código abierto es común en todo el mundo de la tecnología y herramientas como el análisis de la composición del software pueden detectar dependencias y protegerlas. Sin embargo, trabajar con código abierto presenta desafíos de seguridad en comparación con el software propietario.
Chris Hughes, asesor jefe de seguridad de la startup de seguridad de software de código abierto Endor Labs, habló con TechRepublic sobre el estado actual de la seguridad del software de código abierto y hacia dónde podría llegar el próximo año.
“Las organizaciones están empezando a intentar implementar algunas cosas fundamentales, como la gobernanza, para comprender lo que estamos usando en términos de código abierto”, dijo Hughes. “¿Dónde reside en nuestra empresa? ¿Qué aplicaciones lo están ejecutando?
Tendencias de seguridad de código abierto para 2025
Para su trabajo, Hughes definió fuente abierta como software cuyo código fuente está disponible gratuitamente y puede usarse para construir otros proyectos, posiblemente con algunas restricciones. El año pasado, la Escuela de Negocios de Harvard descubrió que las organizaciones necesitarían invertir 8,8 billones de dólares en tecnología y tiempo de trabajo para recrear el software utilizado en los negocios si el software de código abierto no estuviera disponible.
“Se estima que entre el 70% y el 90% de todas las aplicaciones tienen código abierto, y aproximadamente el 90% de esas bases de código están compuestas en su totalidad de código abierto”, dijo Hughes.
Para 2025, Hughes predice:
- La adopción generalizada de software de código abierto irá acompañada de ataques cada vez más sofisticados al OSS por parte de actores maliciosos.
- Las organizaciones seguirán implementando una gobernanza fundamental del OSS.
- Más empresas utilizarán herramientas comerciales y de código abierto para ayudarlas a comenzar a comprender su consumo de OSS.
- Las organizaciones realizarán un consumo de OSS informado sobre los riesgos.
- Las empresas seguirán presionando para que los proveedores sean transparentes con respecto al OSS que utilizan en sus productos. Sin embargo, no surgirán mandatos generalizados para este proceso.
- La IA seguirá impactando la seguridad de las aplicaciones y el código abierto de varias maneras, incluidas las organizaciones que utilizan la IA para analizar código y solucionar problemas.
- Los atacantes se dirigirán a bibliotecas, proyectos y modelos de OSS AI ampliamente utilizados para lanzar ataques a la cadena de suministro contra la comunidad de OSS AI y los proveedores comerciales.
- La gobernanza del código de IA, donde las organizaciones tienen más visibilidad de los modelos de IA, será más común.
Las organizaciones quieren cada vez más saber qué tan seguro es su software de código abierto, incluyendo “qué tan bien se mantiene, quién lo mantiene y qué tan rápido abordan las vulnerabilidades cuando ocurren”, dijo Hughes.
Destacó el ataque de abril de 2024 en el que una serie de intentos de ingeniería social amenazó a las utilidades de código abierto, particularmente abriendo una puerta trasera en la utilidad XZ Utils.
“Ese fue realmente un poco siniestro porque el ecosistema de código abierto se sostiene en gran medida por voluntarios no remunerados, personas que hacen esto en su tiempo libre… y a menudo no son compensados, no reciben remuneración, etc.”, dijo Hughes. “Entonces, aprovechar eso y aprovecharse de eso fue algo bastante nefasto que llamó la atención de mucha gente”.
¿Cómo está cambiando la IA la seguridad del código abierto?
En octubre de 2024, la Iniciativa de Código Abierto estableció una definición para IA de código abierto. Según la iniciativa, la IA de código abierto tiene cuatro elementos clave: la libertad de usar, estudiar, modificar y compartir el sistema para cualquier propósito.
Hughes dijo que definir la IA de código abierto era importante debido al auge de plataformas de distribución como abrazando la cara.
“Estos modelos de IA, especialmente los de código abierto, son ampliamente utilizados por muchas organizaciones e individuos en todo el mundo”, dijo. “Así que volvemos a preguntarnos: ¿Qué hay exactamente en esto, quién contribuyó a ello y dónde está?
¿memoria de sólo lectura? ¿Y hay componentes vulnerables?
Hughes dijo que las grandes corporaciones pueden tener más posibilidades que las pequeñas empresas de hablar de forma transparente con sus proveedores sobre toda su cadena de suministro de software. Por tanto, el problema de no tener visibilidad de los modelos de IA utilizados en su software puede crecer exponencialmente para las empresas más pequeñas.
VER: Los fabricantes de dispositivos domésticos inteligentes pronto podrán solicitar un Sello de aprobación de seguridad del gobierno de EE. UU..
CISA fomenta la seguridad en el desarrollo de software de código abierto
En marzo de 2024, CISA finalizó el formulario de autocertificación de desarrollo de software segurodestinado a desarrolladores de software utilizado por el gobierno federal de EE. UU. para confirmar que utilizan prácticas de desarrollo seguras.
Las agencias federales también pueden solicitar otros formularios y certificaciones. Desde el punto de vista comercial, las organizaciones pueden incorporar requisitos similares en sus procesos de adquisición. Todavía hay un elemento de confianza involucrado, ya que la organización necesita confiar en que el proveedor cumplirá su palabra. Pero la conversación se está produciendo con más frecuencia ahora que el año pasado, a raíz de los ataques a las empresas de servicios públicos de código abierto, dijo Hughes.
Soluciones para el futuro de la seguridad del software de código abierto
Realizar un análisis de la composición del software no será suficiente de cara a 2025, afirmó Hughes. Los profesionales de TI y de seguridad deben saber que a medida que el software se vuelve más complejo, el número de vulnerabilidades ha aumentado “hasta el punto de que se está convirtiendo en un impuesto para los desarrolladores incluso navegar qué necesita ser arreglado y qué orden de prioridad”, dijo Hughes.
Empresas como Endor Labs pueden proporcionar información sobre las dependencias dentro del código abierto. códigoincluidas las dependencias indirectas o transitivas.
“Poder señalar cosas como la accesibilidad y la explotabilidad… también podría ser un gran beneficio desde la perspectiva del cumplimiento, en términos de la carga para la organización y su equipo de desarrollo”, dijo.
