Desde diciembre una vulnerabilidad que está relacionada con la biblioteca de Java Apache Log4j y que se ha denominado 'Log4Shell' ha puesto a muchas empresas contra las cuerdas. Algunos creen que se trata de la vulnerabilidad de día cero más crítica de 2021 por la gran popularidad de la librería de registro afectada.
El problema de Log4j ha hecho que los colosos tecnológicos y el Gobierno de EE.UU. incluso se reúnan y planteen medidas comunes ante las preocupaciones de seguridad por el código abierto.
En el encuentro, que habría sido conducido por la responsable de seguridad cibernética de la Casa Blanca, Anne Neuberger, se han dado cita compañías tecnológicas y organizaciones de la talla de Amazon, Apache, Apple, IBM, Linux, Microsoft, Meta (antes Facebook) y Oracle.
También han participado en la reunión agencias gubernamentales como el Departamento de Defensa y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA).
Google ha defendido es hora de pensar en la infraestructura digital de la misma manera en la que se piensa en la infraestructura física. "El software de código abierto es un tejido conectivo para gran parte del mundo online que merece el mismo enfoque y financiación que le damos a nuestras carreteras y puentes", ha comentado Kent Walker, presidente de asuntos globales de Google y Alphabet.
En un post en el blog de la firma de Mountain View Walker cuenta que durante la reunión Google presentó varias propuestas en relación a cómo avanzar a raíz de la vulnerabilidad de Log4j.
¿Y si hubiera un listado de proyectos críticos?
Google apuesta por una colaboración público-privada que permite la identificación de una lista de proyectos críticos de código abierto, defendiendo que su criticidad debería considerarse según la influencia e importancia. Esta lista facilitaría, según la empresa de la gran G, que las organizaciones puedan priorizar y asignar sus recursos para realizar las mejoras de seguridad.
Por otro lado, la compañía fundada por Larry Page y Sergey Brin propuso establecer una organización que sirva como un mercado para el mantenimiento del código abierto, conectando voluntarios de empresas con los proyectos críticos que necesiten más apoyo. Google se lamenta de que no haya una asignación oficial de recursos y existan pocos estándares formales para mantener la seguridad del open source.
Por su parte, desde IBM secundan la opinión de Google y subrayan que "el Gobierno y la industria pueden trabajar juntos para mejorar las prácticas de seguridad para el código abierto".
"Podemos comenzar fomentando la adopción generalizada de estándares de seguridad abiertos y sensatos, identificando activos críticos de código abierto que deben cumplir con los requisitos de seguridad más rigurosos y promoviendo un esfuerzo nacional colaborativo, para expandir la capacitación y educación en habilidades de seguridad de open source y recompensar a los desarrolladores que hacen avances importantes en este campo", ha destacado Jamie Thomas, responsable de seguridad empresarial del Gigante Azul.