¿Te sientes incómodo con la seguridad de código abierto?
No estás solo. Según una reciente encuesta realizada por Open SSF, el 41% de las organizaciones encuestadas, de más de 500, afirmaron no tener mucha confianza en la seguridad del software de código abierto que utilizan. La seguridad es un tema importante, pero hay formas de comprenderla y ganar confianza al respecto. Lo veo desde tres ángulos interconectados, o lo que yo llamo las triple A de las consideraciones de seguridad en el código abierto: evaluar, adoptar y actuar. Los puedes ver en cualquier orden, pero comencemos evaluando primero.
Evaluar
Bajo la evaluación, hay dos aspectos principales. El primero es la evaluación de la salud del proyecto. Si no estás satisfecho con la salud del proyecto, no estarás satisfecho con la seguridad. Por lo tanto, primero, observa la salud del proyecto. Mira la licencia y la gobernanza. Un proyecto saludable debe tener una información clara sobre la licencia y debe haber una gobernanza abierta. Además, observa la comunidad y el estado actual de desarrollo. Mira las solicitudes de extracción abiertas, mira los problemas abiertos. Observa qué tan oportunos se están abordando. También, observa las solicitudes de extracción fusionadas y observa la calidad de las revisiones y qué tipo de código se está fusionando. Esto dirá mucho sobre la salud del proyecto. Puedes marcarlo y pasar a la evaluación de seguridad.
Bajo la seguridad, hay algunas cosas a considerar. La primera es estudiar la arquitectura y el modelo de seguridad. También, revisar los casos de uso y evaluar la facilidad de uso del software de manera segura. Lo segundo es la revisión de código. Revisa el código con tu equipo de seguridad. Revisemos cosas como cómo se gestiona el acceso del usuario. ¿Qué hay de las validaciones de datos? ¿Y el manejo de permisos de archivos? Observa si están registrando información confidencial en algún lugar. Debes observar la cobertura de pruebas para las funcionalidades de seguridad. La tercera cosa es entender sus políticas de seguridad. Un buen proyecto debe tener políticas de seguridad bien documentadas sobre cómo informar un problema, cómo manejan las CVEs, cómo realizan mejoras periódicas en la seguridad, y cosas por el estilo.
Adoptar
El siguiente aspecto es adoptar. Adoptar políticas internas para estas consideraciones de seguridad. Ten políticas sobre quién será el responsable del software internamente. ¿Cómo informaremos los problemas al proyecto principal? Considera una situación en la que ninguno de esos problemas se abordan a tiempo. ¿Cuál será tu plan allí? También, piensa en las políticas de actualización de versiones. ¿Hay versiones nuevas que se lanzan? Puede que sean parte de las correcciones de seguridad o una versión importante. Querrás tener políticas para actualizar tu versión y mantenerla al menos en un nivel en el que sea compatible para poder recibir ayuda. Además, en general, necesitas tener políticas para la gestión de riesgos.
Actuar
Por último, actuemos en el mantenimiento y mejora de la seguridad del código abierto. El aspecto de seguridad no solo es responsabilidad de las comunidades y los encargados del mantenimiento, sino que también debe ser responsabilidad de los usuarios. Puedes contribuir al proyecto de muchas maneras: con código, con documentación, revisando el código. La gestión de problemas, cualquiera puede ser parte de un grupo de usuarios y ser activo allí. Al contribuir, no solo estás mejorando el software que utilizas y ayudando a la comunidad, sino que también te mantienes al tanto de la seguridad y el desarrollo general del proyecto.
Gracias por leer. Si deseas ver más contenido como este en el futuro, por favor, suscríbete y déjanos tus comentarios.
Resumen de la información
| Aspecto | Consideraciones |
|---|---|
| Evaluar | Evaluación de la salud del proyecto, evaluación de la seguridad |
| Adoptar | Políticas internas, responsabilidad del software, políticas de actualización y gestión de riesgos |
| Actuar | Contribución al proyecto, mantenimiento y mejora de la seguridad |
Preguntas frecuentes (FAQs)
1. ¿Por qué es importante evaluar la salud de un proyecto de código abierto?
Evaluar la salud de un proyecto de código abierto es importante porque te brinda una idea de la calidad y el enfoque que tienen para garantizar la seguridad. Además, te permite identificar si hay una comunidad activa trabajando en el proyecto y si los problemas y solicitudes de extracción se abordan de manera oportuna.
2. ¿Qué aspectos debe revisar un equipo de seguridad al realizar una revisión de código?
Al realizar una revisión de código, un equipo de seguridad debe prestar atención a aspectos como la gestión del acceso de los usuarios, las validaciones de datos, el manejo de permisos de archivos y la cobertura de pruebas en relación con las funcionalidades de seguridad del software.
3. ¿Cómo puedo contribuir a un proyecto de código abierto?
Puedes contribuir a un proyecto de código abierto de diversas formas, como aportando código, creando documentación, revisando el código existente o siendo parte de grupos de usuarios activos. Tu contribución no solo mejorará el software que utilizas, sino que también ayudará a la comunidad y te mantendrá informado sobre la seguridad y el desarrollo del proyecto.
¡Gracias por leer! Asegúrate de visitar nuestros artículos relacionados para obtener más información sobre seguridad en el código abierto.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!