La diferencia entre proyecto y producto
Los problemas del software libre no se terminan en los productos diseñados 100 por ciento con código abierto sino que va más allá. “Es vital entender la diferencia entre un proyecto y un producto”, expresó Mike Bursell, Chief Security Access de Red Hat. Este último es un software cerrado, un paquete con el que trabajar directamente, mientras que el primero necesita ser controlado antes de que se convierta en parte de la infraestructura del negocio, le explicó el experto a la publicación Computer Business Review. No es un problema menor. La desarrolladora de software Synopsys. declarada por Gartner una de las líderes en testeos de seguridad de aplicaciones, gestiona un servicio gratuito que escanea el código fuente abierto en busca de defectos llamado Coverity Scan. Tienen alrededor de 750 millones de líneas de código abierto que participan en sus proyectos de escaneo, y llegaron a identificar 1,1 millones de defectos en 2018, 650.000 de los cuales ya habían sido solucionados. Además, muchos proyectos, especialmente los más pequeños, no escanean su código en busca de potenciales problemas de seguridad. Black Duck Software, por ejemplo, rastrea más de 10.000 millones de líneas de código abierto en más de 550.000 proyectos. Incluso eso no es un cuadro completo. La Fundación Linux reportó que 31.000 millones de líneas de código han sido comprometidas en repositorios de código abierto. ¿Quién usa ese código? Casi todos: existen componentes de código abierto en el 96 por ciento de las aplicaciones comerciales. La aplicación promedio tenía 147 componentes de código abierto diferentes y el 67 por ciento de las aplicaciones usaban componentes con vulnerabilidades. La solución es bien difícil. Para reemplazar o testear ese código, las empresas deberían agrandar sus equipos o el tiempo de desarrollo en un 50 por ciento, señalaron desde Black Duck. No es una posibilidad viable ni en las empresas grandes. “Cuanto más conciencia haya de esto y cuantos más expertos en seguridad pasen su tiempo mirando estos temas, mejor. Al menos dentro de la comunidad de código abierto hay transparencia: opciones que a veces, lamentablemente, faltan en el mercado de software propietario”, dice Bursell.