OpenSSF presenta un manifiesto sobre el consumo de código abierto para optimizar el uso del software de código abierto

En un paso progresivo hacia una encapsulación más sensata de los beneficios del software de código abierto (OSS), la Open Source Security Foundation (OpenSSF) ha lanzado el Manifiesto de Consumo de Código Abierto (OSCM). Similar al icónico Manifiesto Ágil, el OSCM es un documento fortalecido por valores fundamentales y alberga 15 principios rectores diseñados para optimizar el uso del código abierto.

Sin lugar a dudas, el software de código abierto ha sido un impulso para las incipientes innovaciones y la eficacia operativa. Sin embargo, es un hecho bien reconocido que existe una marcada variación en términos de calidad y seguridad entre los diferentes proyectos de OSS. En consecuencia, OpenSSF ha puesto de relieve la falta de un enfoque estratégico hacia el consumo de OSS en numerosas organizaciones.

Por muy conveniente que sea, el OSS tiene su propio bagaje de fallas. Se ha observado una negligencia alarmante en el proceso de evaluación al que se somete el OSS, especialmente si se compara con software de terceros. Las instancias de escrutinio a las que está sujeto, en términos de seguridad, calidad del código y licencias, son, por decir lo menos, inadecuadas. Esto conduce a la aparición de importantes factores de riesgo, como señaló el Grupo de Trabajo de Usuarios Finales de OpenSSF.

Si bien es poco probable que el software de terceros contenga contenido malicioso, los riesgos se materializan durante la fase de descarga para quienes no están familiarizados con las complejidades del OSS. Hemos visto que el 96% de las veces se descarga un componente vulnerable cuando ya hay una versión reparada disponible, dijo Brian Fox, cofundador y CTO de Sonatype, discutiendo los problemas del consumo de OSS con el SD Times.

Al reconocer estos problemas, el Grupo de Trabajo de Usuarios Finales de OpenSSF se impulsó a actuar para idear una forma de rectificarlo. Guiados por una serie de debates, elaboraron el Manifiesto de Consumo de Código Abierto. En lugar de ser un mandamiento estricto, la OSCM defiende la causa de la inclusión y su forma ha sido moldeada por los aportes de varias disciplinas, y su texto se perfecciona en función de las personas que lo utilizan.

El manifiesto incluye disposiciones fundamentales como aumentar el consumo de código abierto a través de funciones de auditoría y cuarentena para componentes que se correlacionan con vulnerabilidades conocidas y paquetes dañinos.

Una medida fundamental para contrarrestar las amenazas de componentes intencionalmente dañinos es tener un sistema de seguimiento integral para monitorear el consumo de componentes. Combinar esto con datos y fuentes de comportamiento permite a sus sistemas recibir llamadas en tiempo real sobre si algo debe aprobarse o asignarse en espera de un escrutinio detallado, agregó Fox.

Para las organizaciones que inician el camino de la observabilidad del software de código abierto, es fructífero comenzar categorizando sus aplicaciones por importancia. A esto se le debe seguir compilando un inventario del OSS integrado en estas aplicaciones, generalmente a través de listas de materiales de software, y detectando diferentes proveedores. Según Fox, actualmente bastantes equipos de desarrollo no cuentan con estos componentes vitales.

Posteriormente, es aconsejable buscar casos en los que se contrate a varios proveedores para la misma función, como el uso de una variedad de marcos de registro. El siguiente paso debería ser centrarse en los mejores proveedores evaluando sus prácticas de desarrollo de software seguro. Factores como las vulnerabilidades conocidas, la antigüedad del software, la popularidad, el tiempo promedio que lleva solucionar los problemas, etc., deberían dictar esta evaluación.

Cada organización necesitaría adaptar su decisión en función de su propio apetito de riesgo y del análisis antes mencionado. Si bien existen ciertas tolerancias de riesgo estándar, como encontrar vulnerabilidades críticas conocidas en una aplicación que maneja datos PII, crear una política de consumo de OSS significaría integrarlo en todo el SDLC, desde el desarrollo hasta CI/CD y, lo más importante, en el lanzamiento.

En el panorama actual, repleto de una amplia gama de plataformas no-code y low-code, es crucial adoptar medidas como OSCM. Una plataforma como AppMaster , una herramienta integral no-code para crear aplicaciones backend, web y móviles, reitera la importancia del OSS y aplica medios como OSCM para mitigar los riesgos y mejorar la productividad. Para que las organizaciones aprovechen plenamente el poder del código abierto, es vital minimizar los riesgos e ineficiencias potenciales, algo en lo que OSCM puede ayudar significativamente.