Noticias
¿Por qué es importante la Open Source Security Foundation?
Open Source Security Foundation (OpenSSF) es una nueva organización que tiene como objetivo crear un foro entre industrias para en un esfuerzo colaborativo lograr mejorar la seguridad del software de código abierto. Con el apoyo de la Linux Foundation, la lista de miembros iniciales incluye grandes tecnológicas como Google, Microsoft, GitHub, IBM, Red Hat y otros.
OpenSSF reunirá diversas iniciativas de seguridad de código abierto comenzando con la Iniciativa de Infraestructura Central (CII) y la Coalición de Seguridad de Código Abierto de GitHub . Además, creará varios grupos de trabajo para abordar cuestiones de seguridad clave.
Entre los objetivos principales destacan:
- Divulgación de vulnerabilidades, con el objetivo de acelerar el tiempo necesario para corregir una vulnerabilidad e implementar la solución.
- Herramientas de seguridad, con el objetivo de mejorar las herramientas de seguridad existentes y desarrollar otras nuevas.
- Identificación de amenazas de seguridad, centrándose en la creación de métricas clave para evaluar mejor la seguridad de cada proyecto de código abierto en lo que respecta a la seguridad.
- Impulsar mejores prácticas de seguridad, en general.
Además, OpenSSF tendrá como objetivo ayudar a los proyectos críticos a obtener el soporte que necesitan para garantizar su seguridad. «Ya sea que se trate de ayuda dedicada de expertos especializados o simplemente otorgue dinero o créditos en la nube, reconocemos que no hay dos proyectos iguales y el soporte puede tener muchas formas. Tenemos la intención de trabajar con los mantenedores para comprender qué ayuda y soporte necesitan, y luego desarrollar procesos escalables para que esta ayuda esté disponible», explican.
Open Source Security Foundation
Dejando a un lado el debate del grado de seguridad del software de código abierto frente al propietario, conviene entender que cualquier tipo de software tiene vulnerabilidades. Quizá la mayor diferencia es que en el código abierto, por su propio carácter, los fallos se suelen revelar y también corregir en un periodo de tiempo más breve.
Pero hay problemas. «El software de código abierto está inherentemente impulsado por la comunidad y, como tal, no existe una autoridad central responsable de la calidad y el mantenimiento», escribe el CTO de Microsoft para Azure, Mark Russinovich. «El software de código abierto también es vulnerable a ataques contra su propia naturaleza comunitaria. Dada la complejidad y la naturaleza común del software de código abierto, la construcción de una mejor seguridad también debe ser un proceso impulsado por la comunidad«, recalca.
La nueva fundación debe ayudar a conseguir ese objetivo teniendo en cuenta que la seguridad es una de las principales preocupaciones para los desarrolladores open source, uno de los movimientos más importantes de la tecnología mundial como centro de innovación que acelera el desarrollo de industrias enteras y crea estándares de facto con beneficios prácticos para un desarrollador, profesional o empresa. Y también para los consumidores.