Siete fundaciones de código destapado se están uniendo para crear especificaciones y estándares comunes para la Ley de Resiliencia Cibernética (CRA) de Europa, regulación adoptada por el Parlamento Europeo el mes pasado.
La Apache Software Foundation, Blender Foundation, Decadencia Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation y Rust Foundation revelaron sus intenciones de aunar sus bienes colectivos y conectar los puntos entre las mejores prácticas de seguridad existentes en el explicación de software de código destapado, y asegurar que la tan denostada esclavitud de suministro de software esté a la mérito de la tarea cuando la nueva constitución entre en vigor adentro de tres primaveras.
Componente
Se estima que entre el 70% y el 90% del software coetáneo se compone de componentes de código destapado, muchos de los cuales son desarrollados de forma gratuita por programadores en su propio tiempo y por su cuenta.
La Ley de Resiliencia Cibernética se presentó por primera vez en forma de boceto hace casi dos primaveras, con miras a codificar las mejores prácticas de ciberseguridad para productos de hardware y software vendidos en toda la Unión Europea. Está diseñado para someter a todos los fabricantes de cualquier producto conectado a Internet a mantenerse actualizados con los últimos parches y actualizaciones de seguridad, con sanciones por deficiencias.
Estas sanciones por incumplimiento incluyen multas de hasta 15 millones de euros, o el 2,5% de la facturación mundial.
La constitución en su forma auténtico provocó feroces críticas de numerosos organismos de terceros, incluidos más de una docena de organismos de la industria de código destapado que el año pasado escribieron una carta abierta diciendo que la ley podría tener un «meta paralizador» en el explicación de software. El meollo de las quejas se centró en cómo los desarrolladores de código destapado “upstream” podrían ser considerados responsables de los defectos de seguridad en productos posteriores, disuadiendo así a los mantenedores voluntarios de proyectos de trabajar en componentes críticos por temor a represalias legales (esto es similar a las preocupaciones que abundaban en todo el mundo). Ley de IA de la UE, que recibió luz verde el mes pasado).
La redacción de la regulación CRA ofrecía algunas protecciones para el ámbito del código destapado, en la medida en que los desarrolladores que no se preocupaban por comercializar su trabajo estaban técnicamente exentos. Sin requisa, el verbo estaba destapado a interpretación en términos de qué se incluye exactamente bajo el emblema de “actividad comercial”: ¿contarían, por ejemplo, patrocinios, subvenciones y otras formas de afluencia financiera?
Finalmente se realizaron algunos cambios en el texto y la constitución revisada abordó sustancialmente las preocupaciones aclarando las exclusiones de proyectos de código destapado.
Aunque la nueva regulación ya ha sido aprobada, no entrará en vigor hasta 2027, lo que dará tiempo a todas las partes para cumplir con los requisitos y pulir algunos de los detalles más finos de lo que se prórroga de ellas. Y esto es para lo que se están uniendo las siete fundaciones de código destapado por ahora.
Documentación
La forma en que evolucionan muchos proyectos de código destapado ha significado que a menudo tengan documentación irregular (si es que la tienen), lo que dificulta el respaldo de las auditorías y dificulta que los fabricantes y desarrolladores posteriores desarrollen sus propios procesos de CRA.
Muchas de las iniciativas de código destapado con mejores bienes ya cuentan con estándares de mejores prácticas decentes, relacionados con aspectos como la divulgación coordinada de vulnerabilidades y la revisión por pares, pero cada entidad puede utilizar diferentes metodologías y terminologías. Al unirnos como uno solo, esto debería contribuir de alguna forma a tratar el explicación de software de código destapado como una “cosa” única sujeta a los mismos estándares y procesos.
Si a esto le sumamos otras regulaciones propuestas, incluida la Ley de Seguridad del Software de Código Amplio en EE.UU., queda claro que las diversas fundaciones y “administradores del código destapado” serán objeto de un veterano pesquisa por su papel en la esclavitud de suministro de software.
«Si acertadamente las comunidades y fundaciones de código destapado generalmente se adhieren y han establecido históricamente las mejores prácticas de la industria en materia de seguridad, sus enfoques a menudo carecen de afiliación y documentación completa», escribió hoy la Fundación Decadencia en una publicación de blog. «La comunidad de código destapado y la industria del software en común comparten ahora un desafío global: la constitución ha introducido una requisito urgente de estándares de procesos de ciberseguridad».
La nueva colaboración, aunque inicialmente constará de siete fundaciones, estará encabezada en Bruselas por la Fundación Decadencia, que alberga cientos de proyectos individuales de código destapado que abarcan herramientas de explicación, marcos, especificaciones y más. Los miembros de la fundación incluyen a Huawei, IBM, Microsoft, Red Hat y Oracle.
————————————————– —————–
Esta página transcribe artículos de diversas fuentes de dominio notorio, las ideas expresadas son responsabilidad de sus respectivos autores por lo cual no nos hacemos responsables del uso o la interpretación que se les dé. La información publicada nunca debe sustituir información profesional, médica, legítimo o psicológica.
