Último

El software de código abierto enfrenta amenazas de software de protesta y sabotaje

Una cuerda de Los incidentes de «sabotaje» en el software de código abierto están reanudando las discusiones sobre cómo proteger los proyectos que sustentan las plataformas y redes digitales en todo el mundo. Muchos de los incidentes recientes se han llamado «software de protesta» porque se refieren a desarrolladores de código abierto que están realizando cambios en el código para expresar su apoyo a Ucrania en medio de la invasión rusa y el ataque continuo al país.

En algunos casos, el software de código abierto se ha modificado para mostrar superposiciones contra la guerra u otros mensajes de solidaridad con Ucrania. Sin embargo, en al menos un caso, se modificó un paquete de software popular para implementar herramientas maliciosas de limpieza de datos en computadoras rusas y bielorrusas. Esta ola de protestas de código abierto se produce solo unos meses después de un incidente aparentemente no relacionado en el que sabotea dos de sus proyectos de código abierto ampliamente utilizados de la aparente frustración resultante de sentirse abrumado y subcompensado.

Los incidentes son relativamente manejables hasta ahora, pero amenazan con socavar aún más la confianza del ecosistema, justo cuando la industria de la tecnología lucha por abordar otros problemas de seguridad de la cadena de suministro de software de código abierto. Y aunque el apoyo financiero, las promesas de herramientas automatizadas y la atención de la Casa Blanca son bienvenidos, la comunidad de código abierto necesita una ayuda más estable y duradera.

EN declaración El jueves, la Iniciativa de código abierto, que condenó enérgicamente la guerra de Rusia en Ucrania, se manifestó en contra del software de protesta destructivo e instó a los miembros de la comunidad a encontrar formas alternativas y creativas de usar sus posiciones de apoyo para oponerse a la guerra.

«Las desventajas de destrozar proyectos de código abierto superan con creces cualquier posible beneficio y, en última instancia, lo contrario dañará a los proyectos y colaboradores responsables», escribió el grupo. “Además, todo el código abierto está dañado. Usa tu poder, sí, pero úsalo sabiamente”.

El software de código abierto es de uso gratuito para cualquier persona, por lo que las herramientas y los programas se incluyen en todo, desde proyectos independientes hasta software personalizado producido en masa. Nadie quiere perder tiempo escribiendo y probando un componente desde cero cuando solo puede encender y ejecutar una versión lista para usar. Sin embargo, esto significa que todos los tipos de software dependen de proyectos que cuentan con el apoyo de uno o un puñado de voluntarios: o proyectos que ya no soportan en absoluto.

Una ventaja largamente promocionada del software de código abierto es que tiene el potencial de ser tan seguro o más seguro que el suyo propio, ya que está abierto a una verificación independiente. La idea es que muchos ojos cometan pocos errores. En la práctica, sin embargo, esta precaución tiene limitaciones precisamente porque a menudo no hay muchos ojos. Sin embargo, el problema del sabotaje golpea el corazón de la premisa de código abierto como un espacio descentralizado y no federado.

«Realmente no hay nada que prevenga sistemáticamente que los incidentes de sabotaje interno ocurran con más frecuencia», dijo Dan Lorenz, investigador en la cadena de suministro de software de código abierto y fundador de la firma de seguridad ChainGuard. «Los proyectos construyen una reputación con el tiempo, y las personas que a menudo son alias comienzan a confiar en las identidades digitales de los demás debido al trabajo que han realizado. No hay una lista global de aprobadores y cada proyecto tiene una cultura diferente sobre cómo se convierte en aprobador o un desarrollador autorizado para aprobar y publicar cambios en el código.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
You cannot copy content of this page