El software de código abierto  (OSS)  es fundamental para el desarrollo moderno, pero también puede ser un punto débil en la cadena de suministro de software. Recientemente, han surgido preocupaciones sobre su seguridad, especialmente tras el incidente de XZ Utils, donde se descubrió una puerta trasera en un software OSS ampliamente utilizado. Aunque no tuvo el mismo impacto que Log4j, donde se destacó una fragilidad del ecosistema digital actual y la necesidad de mejorar la seguridad en el uso de OSS. 

Tradicionalmente, la gestión de vulnerabilidades se ha enfocado en las vulnerabilidades conocidas, que suelen publicarse en listas como las de vulnerabilidades y exposiciones comunes. Cada vez se reconoce más la necesidad de prever riesgos potenciales que puedan estar asociados con ciertas bibliotecas, componentes y proyectos de OSS. 

Estos son 6 de los principales riesgos del código abierto 

1 – Paquetes legítimos comprometidos 

Los ciberdelincuentes reconocen la importancia de comprometer un paquete legítimo para afectar a los usuarios, tanto a nivel organizacional como individual. Utilizan diversas tácticas para lograr este tipo de ataque, como secuestrar cuentas de los responsables del proyecto o aprovechar vulnerabilidades en los repositorios de paquetes. Para reducir este riesgo, se recomienda utilizar recursos y guías emergentes, como el Marco de Consumo Seguro de la Cadena de Suministro (S2C2F) de Microsoft, ahora donado a OpenSSF, junto con otras soluciones similares disponibles en la industria. 

2 – Ataques de confusión de nombres  

Esta modalidad de ataque se basa en crear componentes maliciosos que tienen nombres similares a paquetes o componentes legítimos de OSS, con la intención de que sean descargados y utilizados por error por posibles víctimas. Cuando estos paquetes comprometidos se integran en los sistemas de una organización, pueden comprometer la confidencialidad, integridad y disponibilidad (CIA) de sus sistemas y datos. Para prevenir estos ataques, es crucial asegurarse de que los paquetes o componentes de OSS que los desarrolladores intentan descargar sean auténticos. En este contexto, es esencial educar a los desarrolladores sobre la posibilidad de enfrentarse a ataques de confusión de nombres. 

3 – Software sin mantenimiento 

Una de las desventajas del software de código abierto (OSS), en comparación con el software propietario, es que no hay un “proveedor” que garantice su mantenimiento, actualización o soporte continuo. Un factor que agrava la falta de mantenimiento del OSS es que casi el 25% de los proyectos tienen solo un desarrollador principal y el 94% son mantenidos por 10 o menos desarrolladores. Dado que entre el 60% y el 80% de las bases de código modernas están compuestas de OSS, es fácil entender que una parte significativa del ecosistema digital, incluidos los sistemas más críticos, opera con software que recibe un soporte mínimo, lo que representa un riesgo sistémico significativo. Para mitigar este riesgo, el informe recomienda evaluar la vitalidad y salud del proyecto, considerando factores como el número de mantenedores y colaboradores, la frecuencia de las actualizaciones y el tiempo medio para remediar (MTTR) las vulnerabilidades.

4 – Dependencias no rastreadas 

Los desarrolladores y las organizaciones a menudo no están al tanto del uso que hacen de ciertas dependencias o componentes específicos. Esto puede suceder porque no emplean herramientas como el análisis de composición de software (SCA) para entender cómo consumen OSS, o porque no adoptan tecnologías emergentes como las listas de materiales de software (SBOM), que ofrecen una visibilidad clara de los componentes utilizados o distribuidos por la organización. A pesar de que el inventario de activos es un control fundamental en SANS/CIS desde hace mucho tiempo. Las SBOM buscan solucionar este problema al permitir que las organizaciones gestionen su inventario de componentes de manera más eficaz. 

5 – Riesgo de licencias y cumplimiento normativo  

Este riesgo surge cuando los componentes o proyectos carecen de licencias o tienen licencias que pueden impedir su uso de la manera que los consumidores planean. Esto podría impactar negativamente en los objetivos comerciales de la organización, incluidas las fusiones y adquisiciones, a medida que aumentan el uso de componentes OSS en sus productos y servicios. Para mitigar estos riesgos, las organizaciones deben identificar las licencias aplicables a los componentes que utilizan y asegurarse de que su uso esté alineado con dichas licencias. 

6 – Cambios no aprobados 

OWASP advierte sobre situaciones en las que los componentes pueden cambiar sin que los desarrolladores lo noten, revisen o aprueben. Esto puede ocurrir cuando los enlaces de descarga cambian, apuntan a recursos no versionados, o cuando se realizan transferencias de datos inseguros que han sido manipuladas, subrayando la importancia de un tránsito seguro. Para mitigar estos riesgos, se recomienda utilizar identificadores de recursos que aseguren la seguridad y la referencia al mismo artefacto inmutable. También es aconsejable verificar las firmas y resúmenes de los componentes antes de su instalación y uso.  

En resumen, el OSS es un componente vital del desarrollo de software moderno, pero su uso requiere una gestión cuidadosa para evitar riesgos significativos en la seguridad de la cadena de suministro de software. 

¿Quieres ser un experto en código abierto y evitar vulnerabilidades en desarrollo software? 

Holberton by Coderise se centra en enseñar habilidades prácticas y técnicas avanzadas en desarrollo de software, incluyendo la importancia de la seguridad en el desarrollo de software. Temas como la gestión de dependencias, la seguridad en la cadena de suministro de software y el manejo adecuado de licencias, son fundamentales. Holberton le brinda a sus estudiantes habilidades y conocimientos en estos aspectos para garantizar que los desarrolladores no solo sean capaces de crear software, sino también de hacerlo de manera segura y conforme a las normativas, minimizando riesgos.  

Holberton Coderise es una academia de software nacida en Silicon Valley, disruptiva e innovadora cuyo modelo ha sido destacado en publicación del Banco Interamericano de Desarrollo. En la actualidad opera en más de 20 países y en más de 29 ciudades a nivel mundial distribuidas en todos los continentes y entrena miles de participantes anualmente.

Imágenes:

Grok, presentado como una alternativa directa a ChatGPT, se ha distinguido por su capacidad para ofrecer respuestas no filtradas y por su acceso en tiempo real a la información. Estas características lo han posicionado como un jugador relevante en el mercado. Musk, en un anuncio realizado a través de X (anteriormente Twitter), afirmó que el código de Grok se hará público durante esta semana, aunque no se ofrecieron detalles específicos sobre el alcance de esta apertura.

La decisión de Musk de abrir el código fuente de Grok subraya una filosofía de larga data hacia la investigación de código abierto, una práctica que ha caracterizado a otras empresas bajo su liderazgo, como Tesla. Esta apertura contrasta con la actitud percibida de OpenAI, que ha sido criticada por Musk por alejarse de su misión original de beneficiar a la humanidad y por convertirse en lo que él denomina una “mentira”.

Te puede interesar: Grok, el nuevo chatbot sarcástico e irónico como Elon Musk llegó a X (Twitter)

La controversia se intensifica con una demanda reciente de Musk contra OpenAI, acusando a la organización de abandonar su compromiso con el código abierto y de favorecer un modelo de negocio con fines de lucro en colaboración con Microsoft. Esta disputa legal ha arrojado luz sobre las tensiones existentes entre los ideales de código abierto y las realidades comerciales en el desarrollo de la IA.

Aunque no es el primer intento de ofrecer un chatbot de código abierto, con iniciativas previas de Meta y Mistral AI, la jugada de Musk es significativa por su contexto y por el desafío directo que plantea a OpenAI. La apertura de Grok podría democratizar el acceso a la tecnología de IA avanzada, permitiendo que investigadores y desarrolladores exploren y expandan sobre la base establecida por xAI.

La integración de Grok en X y su modelo de suscripción Premium+ han sido vistos como esfuerzos por monetizar y potenciar el valor de la plataforma de redes sociales, especialmente en un momento de volatilidad para la empresa. Sin embargo, la apertura del código plantea preguntas sobre el modelo de negocio futuro y la estrategia de Musk para competir en el creciente mercado de la IA.

Imagen: Grok

*Contenido construido con ayuda de IA y curado por ENTER.CO*

Impulso al código abierto: 

AI Alliance, respaldada por más de 50 organizaciones, promueve el desarrollo abierto de modelos fundamentales de IA. El código abierto facilita el acceso a beneficios, la creación de productos innovadores y el trabajo en seguridad. La iniciativa incluirá la creación de un catálogo de herramientas examinadas y promoverá su utilización.

Objetivos de la AI Alliance: 

La alianza tiene como objetivos desarrollar estándares de evaluación, herramientas y recursos para sistemas de IA responsables, abordar desafíos sociales y climáticos. Además, también pretende fomentar un ecosistema de hardware de IA, apoyar el desarrollo global de habilidades en IA y proporcionar contenidos educativos para informar al público y a los responsables políticos.

Te puede interesar: Q, la inteligencia artificial de Amazon que será un salvavidas para empresas y negocios ¿Por qué?

Acciones concretas y colaboración global: 

La AI Alliance iniciará y mejorará proyectos para desarrollar sistemas de IA a escala global. Buscará impulsar el ecosistema de modelos abiertos, apoyará el desarrollo de habilidades y la investigación exploratoria en IA, y creará recursos educativos. La alianza se presenta como una plataforma para abordar las preocupaciones de seguridad y compartir soluciones que se adaptan a las necesidades globales.

Este esfuerzo conjunto, respaldado por empresas como IBM, AMD, Intel y Oracle, pretende crear un entorno diverso y responsable en el campo de la IA, abordando preocupaciones clave y avanzando hacia un futuro tecnológico más seguro y ético. Por último, esta alianza llega para promover iniciativas que fomenten el desarrollo abierto de la IA de forma segura y beneficiosa para la humanidad. 

Imagen: Nguyen Dang Hoang Nhu

La compañía argumenta que crearán al menos 1.500 emojis en dicha biblioteca para el uso público. Dentro de los emojis se contemplará la cultura, la orientación sexual, la política y los de comida. Pero si te preguntas ¿podré crear mis propios emoticones? La respuesta es sí. Microsoft explicó que se podrán realizar creaciones propias con el código de fuente abierto. Lo que más importante de ello es que los usuarios podrán ir más allá del tono de piel amarillo estándar de Unicode; a cambio, podrán basarse en la Escala Fitzpatrick para obtener más tonos de piel.

Te puede interesar: MoonRay, el renderizador de DreamWorks Animation será de código abierto

Entonces, si quieres hacer uso de la biblioteca de emojis de Microsoft, podrás ingresar mediante Figma y Github, una vez hayas creado el emoticon que quieres podrás guardarlo en tu computador. Los archivos compatibles serán SVG, PNG Y JPG para “permitir una verdadera versatilidad”. No obstante, Microsoft recomienda a los desarrolladores y creadores que hagan una “versión vectorial, plana y monocromática” de cada creación.

Recientemente, Microsoft rediseño su biblioteca de emojis con emojis 3D además de los 2D, completando así más de 1800 emojis en su biblioteca. Sin embargo, varios de ellos no estarán disponibles en la herramienta de código abierto debido a razones legales. Por ejemplo, el emblemático clip de papel Clippy no se puede utilizar porque es una marca registrada; así mismo existen otros emoticones patentados que no serán de libre uso. La compañía espera que sus próximos emojis se puedan incluir en la biblioteca de código abierto.

Imagen: 

Todo indica que la herramienta será de código abierto a finales del presente año, el cual además estará acompañado de un marco de renderizado en la nube Arras. “Estamos encantados de compartir con la industria más de 10 años de innovación y desarrollo en la base de código vectorizada, enhebrada, paralela y distribuida de MoonRay”, dijo Andrew Pearce, vicepresidente de tecnología global de DWA. “El apetito por renderizar a escala crece cada año y MoonRay está preparado para satisfacer esa necesidad. Esperamos ver que el código base se fortalezca con la participación de la comunidad a medida que DreamWorks continúa demostrando nuestro compromiso con el código abierto”.

Te puede interesar: ¿Qué es Protestware? Desarrolladores saboteando su propio código

Dicho renderizador fue utilizado por la compañía para películas como “Cómo entrenar a tu dragón: El mundo oculto” “Croods: una nueva era” así como la próxima película de “El gato con botas: el último deseo”. Ahora, solo queda esperar si todos los aficionados de la animación lograrán estar a la altura de las animaciones de la compañía. Lo cierto es que, para todos es emocionante ver que este tipo de herramientas se psaen a código abierto por los mismos propietarios. Si así lo deseas, puedes solicitar acceso temprano a Moonray o registrarte también para recibir cualquier actualización al respecto.

Imagen: DreamWorks