Un estudio llevado a cabo por The Linux Foundation en colaboración con la firma especializada en seguridad Snyk acerca de la seguridad en el código abierto está dejando titulares cuando menos llamativos en algunos medios afines y no tan afines al modelo de desarrollo y su impacto, no solo en la seguridad del software, sino en la percepción y tratamiento de la misma.
Como todos estos estudios, la información que contempla se basa en una serie de entrevistas a profesionales del sector, en concreto a unos 550 desarrolladores de empresas de diferente tamaño, a quienes se les ha preguntado por este tema: ¿qué políticas de seguridad tienen implementadas en sus compañías en relación al software de código abierto que utilizan? ¿Cuál es su percepción con respecto a este asunto?
Es todo un poco más complicado de lo que parece a simple vista: menos de la mitad (49%) de los participantes trabajan en empresas en la que no hay implantadas políticas de seguridad para el desarrollo de software de código abierto y en la mayoría de ellas (30%), ni siquiera existe un responsable encargado de este área. Pero ¿no es el código abierto tan seguro? ¿De qué hay que preocuparse?
El factor percepción ha sido siempre muy relevante en el ámbito del código abierto por las características intrínsecas del modelo, la conocida como «ley de Linus» interpretada por el fundador de la Open Source Initiative (OSI) y autor del clásico La catedral y el bazar, Eric S. Raymond: con los suficientes ojos, los errores salen a la superficie. Claro que esta «ley» solo funciona si hay alguien mirando, recuerdan en ZDnet.
Existe también esa otra «ley» de Linus que dice que un fallo es un fallo, afecte a la seguridad o a cualquier otros aspecto, aunque de esta se suele hablar menos. Sin embargo, aplica de igual manera, pues a fin de cuentas, la mayoría de ojos que se posan sobre los proyectos de código abierto no van en busca, por lo general, de fallas de seguridad.
¿Dónde queda la percepción en el estudio de The Linux Foundation y Snyk? Casi la mitad de los encuestados (41%) le niega la confianza al código abierto en materia de seguridad, mientras que un porcentaje mayor sostiene una postura radicalmente opuesta, afirmando que el código abierto que usan es muy o extremadamente seguro. ¿En qué se basa cada grupo para posicionarse de una manera u otra?
Lo cierto es que no se explica, aunque posturas tan encontradas dan pie a la reflexión. En primer lugar, se trata de profesionales, conocedores en teoría de cómo funciona el desarrollo de software de código abierto, en el que, en efecto, los ojos que miran tienen una importancia vital. Pero no es lo mismo un proyecto como el kernel Linux, utilizado por muchas grandes empresas y organizaciones a lo largo del mundo, que una dependencia concreta de este o un proyecto mucho más pequeño.
Sea como fuere, es un hecho que por su naturaleza, el código abierto ofrece una capa de seguridad adicional a la del software privativo, la de la transparencia, que puede ser muy beneficiosa en muchos casos, pero también perniciosa en otros tantos, allanando decisiones irresponsables en aras del «alguien lo verá y lo arreglará», para despreocuparse del tema y ahorrarse algo.
Por otro lado, no es menos cierto que el mismo ecosistema del código abierto está impulsando un cambio en la mentalidad de unos años a esta parte, poniendo más atención en los componentes más utilizados, haciendo más por detectar vulnerabilidades, financiando mejoras y liderando otro tipo de iniciativas en la misma dirección. Se han hecho muchas cosas en torno a Linux y el software de código abierto más popular en el ámbito empresarial y ya hay frutos de ello.
Así, se reconoce, por ejemplo, que Linux corrige sus fallos de seguridad más rápido que Apple y Microsoft y por más que haya partes que sostengan con razón, que el número de estos es muy mayor en Linux o el código abierto en general, lo cual es cierto, también se debe a la transparencia del modelo. Lo que parece cada vez más claro, no obstante, es que la transparencia no es suficiente para mantener en entorno seguro.
Y es que las vulnerabilidades están a la orden del día en toda clase de software, sin importar el modelo sobre el que se desarrolle, y aunque el código abierto cuenta con sus ventajas, no está exento de padecer los mismos problemas con los que la industria lleva lidiando décadas: es crucial preocuparse por la seguridad sin relegar en terceros.
Con respecto al estudio, aporta otros datos de interés, apuntando por ejemplo a las vulnerabilidades que se suelen encontrar en la aplicación media, el tipo de respuesta que se le da o las herramientas que se van incorporando en el proceso, pero el hincapié en la percepción es una de las claves que valía la pena destacar.
Para ver el estudio al completo puedes acceder a este enlace (PDF).