La economía digital se basa en el código abierto. He aquí cómo protegerlo.

Aunque la mayoría de la gente no se dé cuenta, gran parte de la tecnología en la que confiamos todos los días funciona con software libre y de código abierto (FOSS). Los teléfonos, los coches, los aviones e incluso muchos programas de inteligencia artificial de última generación utilizan software de código abierto, como el sistema operativo kernel Linux, los servidores web Apache y Nginx, que gestionan más del 60% de los sitios web del mundo, y Kubernetes, que impulsa la computación en nube. La sostenibilidad, la estabilidad y la seguridad de estos paquetes de software son una de las principales preocupaciones de todas las empresas que los utilizan (que son básicamente todas las empresas). Pero a diferencia del software tradicional de código cerrado, que las empresas crean internamente y venden, el software libre lo desarrolla un ejército anónimo de desarrolladores normalmente no remunerados y, por lo general, se regala de forma gratuita.

En los últimos años, hemos observado un aumento del papel activo de las empresas en el software de código abierto, ya sea asignando a los empleados para que contribuyan a los proyectos de código abierto existentes o abriendo su propio código para permitir a la comunidad utilizarlo y ayudar a mantenerlo. A medida que las empresas han hecho del software libre parte de su modelo de negocio, también han adquirido importantes productores de software libre. Hace dos años, IBM compró Red Hat, una de las empresas más exitosas que creó en torno al software libre con 34 000 millones de dólares. Un año antes, otros gigantes de la tecnología pagaron miles de millones para adquirir una participación en FOSS, entre los que destaca Microsoft ( compró GitHub por 7.500 millones de dólares) y Salesforce.com ( compró MuleSoft por 6.500 millones de dólares).

La entrada del mundo empresarial en las comunidades en línea gratuitas y de código abierto ha provocado graves preocupaciones y fricciones. Las adquisiciones de productores de software libre podrían provocar la exclusión de los contribuyentes voluntarios hasta el punto de amenazar la salud futura del ecosistema de software libre. Además, el mundo los principales proveedores de nube han creado negocios multimillonarios a partir de componentes de software libre, lo que ha llevado a los contribuyentes de software libre a preguntarse por qué dedican su tiempo libre a enriquecer a los ricos. Estas acciones pueden disuadir a los voluntarios de contribuir y amenazar el espíritu subyacente de la comunidad de software libre.

Un caso particularmente polémico es el reciente conflicto entre Elastic y Amazon. Elastic, una empresa pública cuyo software Elasticsearch impulsa la actividad de búsqueda en numerosos sitios web corporativos, como Walmart y Audi, se enfrentó a Amazon después de que el gigante de Internet cogiera una versión de Elasticsearch que Elastic había creado de código abierto, la reempaquetara y la vendiera a sus clientes casi con el mismo nombre. Elastic sostuvo que, en esencia, Amazon tomó el código libre que creaba valor para toda la comunidad y lo aisló para que fueran los únicos que pudieran sacar provecho de él.

Con el apoyo de la Fundación Linux y junto con la Fundación de Seguridad de Código Abierto, intersectorial, hemos llevado a cabo dos iniciativas de investigación complementarias, una centrada en realizar un censo del uso del software libre y la otra en entender las motivaciones de los contribuyentes del software libre, con el objetivo de entender mejor estas preocupaciones. Por primera vez, nos asociamos con empresas de análisis de composición de software y seguridad de aplicaciones, entre ellas Snyk y Sinopsis , para obtener una visión amplia del uso del software libre en las aplicaciones de producción mediante la realización de un censo de este software fundamental para identificar los paquetes de software libre más utilizados. Por el segundo, interpretamos un encuesta global de la comunidad de desarrolladores de software libre que preguntó por qué los desarrolladores contribuyen a proyectos específicos de software libre, cómo perciben las importantes inversiones financieras de las empresas y qué prácticas de seguridad utilizan (un tema importante en el software libre). Esto es lo que encontramos.

En cuanto a las conclusiones

La pregunta más importante con respecto a la creciente participación de las empresas en el software libre es si afectará negativamente a la salud y el bienestar futuros del ecosistema del software libre. ¿Dejarán de participar los desarrolladores que crean el software en el que todos confiamos en un sistema impulsado menos por el sentido de comunidad y más por la búsqueda de beneficios? ¿Se centrarán las empresas exclusivamente en el rentable software libre e ignorarán otras partes fundamentales de la infraestructura de las que depende la sociedad? ¿Será más difícil mantener la seguridad de este software? Si las empresas individuales realizan una mayor parte del trabajo en el software libre, ¿habrá menos ojos en busca de errores y posibles vulnerabilidades? Si la respuesta a alguna de estas preguntas es sí, no es un buen augurio para el futuro del software de código abierto.

El resultados preliminares de nuestro censo revelan dos tendencias preocupantes que podrían hacer que el software libre sea más vulnerable a las brechas de seguridad. En primer lugar, descubrimos que muchos de los paquetes de software libre más utilizados en el software comercial están alojados en las cuentas de desarrolladores individuales (y no en comunidades más amplias), lo que plantea la cuestión no solo de la seguridad, sino también de la fiabilidad. Una persona puede aceptar un nuevo trabajo, decidir jubilarse o, si la suerte no lo quiere, ser atropellada por el proverbial autobús y resultar incapaz de mantener el proyecto. Es posible que las cuentas individuales tampoco tengan las medidas de seguridad suficientes para evitar posibles ataques peligrosos por parte de piratas informáticos. En segundo lugar, hemos descubierto que muchas empresas utilizan versiones anticuadas de programas de código abierto, un hallazgo preocupante, si no necesariamente sorprendente. No estar al tanto de las actualizaciones significa que es más probable que el software contenga errores y puntos débiles de seguridad conocidos. Ambas tendencias reflejan que la seguridad suele ser una idea tardía.

Los resultados de la encuesta también revelaron que las motivaciones de los colaboradores pueden hacer que las empresas utilicen incentivos no tradicionales. Aunque las empresas patrocinan cada vez más a los colaboradores, la principal motivación de estos colaboradores no es el dinero. Esto significa que las palancas tradicionales de las empresas para incentivar el comportamiento pueden no funcionar, y puede que haya que confiar en motivaciones más intrínsecas, como la pasión por aprender, el sentido de pertenencia a las comunidades de software libre y la identidad profesional de los programadores. Por lo tanto, cualquier empresa, organización o gobierno que quiera mejorar la seguridad del software libre tendría que centrarse en apelar a estas motivaciones intrínsecas, en lugar de limitarse a pagar a los colaboradores por trabajar en materia de seguridad. Como alternativa, las empresas podrían pagar a asesinos a sueldo para que se dediquen específicamente a cuestiones de seguridad. De cualquier manera, nuestra encuesta revela que es poco probable que esperar que los colaboradores aborden voluntariamente los problemas de seguridad tenga éxito.

Cómo pueden ayudar las empresas

Nadie, y mucho menos nosotros, está sugiriendo que debemos volver a los primeros días del software libre, cuando se trataba sobre todo de un esfuerzo voluntario de personas con ideas afines. Pero sí recomendamos a los grandes actores, como las empresas y los gobiernos, que son patrocina cada vez más FOSS tanto directa como indirectamente, para entender el impacto que tienen en el futuro del ecosistema de software libre y seguir algunos principios rectores.

En primer lugar, el objetivo tanto de las empresas como de los países debe ser lograr el equilibrio adecuado: garantizar que el software libre siga creciendo sin acabar con el espíritu comunitario que ha estado en el centro de las motivaciones para contribuir. Esto significa que las empresas deben tener una política clara con respecto al código abierto (preferiblemente una que aliente a los empleados a contribuir al software libre, si es posible). Nuestra investigación reveló que muchos empleados no entienden claramente las políticas de software libre de su empresa, lo que los hace dudar a la hora de utilizar abiertamente los proyectos de software libre y contribuir a ellos. Además, pueden apoyar estos proyectos de forma proactiva para garantizar su salud en el futuro.

En segundo lugar, las empresas que utilizan software libre (que son básicamente todas las empresas, lo sepan o no) deberían aumentar su nivel de conocimiento sobre el software libre que utilizan. Un reciente orden ejecutiva presidencial exige que se proporcione una lista de materiales de software (SBOM) para todos los productos que compre el gobierno, de modo que sepa qué software libre (y software propietario) incluye el producto y, por lo tanto, pueda estar al tanto de las posibles vulnerabilidades que puedan surgir. Este es un ejemplo importante que todas las empresas deberían considerar seguir. Hacerlo permitiría a las empresas entender mejor su confianza en la comunidad de software libre y generaría más transparencia y les permitiría saber cuándo son susceptibles a las vulnerabilidades recién descubiertas.

En tercer lugar, a medida que las empresas sigan contribuyendo al software libre, les sugerimos que tengan en cuenta la estabilidad del software que utilizan, que incentiven las contribuciones de sus empleados para que se centren tanto en las funciones útiles para la empresa como en la seguridad y el mantenimiento generales, y que sepan que la comunidad de voluntarios que está detrás de estos proyectos es fundamental y debe protegerse. De esta manera, no solo se benefician de las nuevas funciones que añaden, sino que también garantizan la salud y el bienestar futuros del software libre en el que confían.

El software libre y de código abierto es una pieza vital de la economía, al igual que las autopistas interestatales, la red eléctrica o la red de comunicaciones. Dado lo que ya sabemos sobre esos sistemas de infraestructura crítica, ¿no tiene sentido aprender lo mismo sobre sus 21 st ¿equivalente a un siglo? Con el número de partes interesadas que participan en el ecosistema del software libre, es difícil para un solo actor resolver todos los problemas. Por lo tanto, es probable que sea necesario un esfuerzo multipartidista que incluya empresas, organizaciones gubernamentales y colaboradores individuales para garantizar la seguridad y la vitalidad del ecosistema de software libre en el futuro. Sin embargo, primero hay que entender el alcance del problema. Creemos que nuestros esfuerzos son uno de los primeros pasos en esa dirección.

Nota del autor: Si quiere obtener más información o participar, puede leer el informe sobre los resultados de la encuesta o leer el informe preliminar sobre el uso y el registro del software libre para participar en nuestra próxima encuesta de colaboradores o participar en la iniciativa.