El open source ha ganado terreno en el ámbito corporativo, con las pymes optando cada vez más por estos programas. Muchas organizaciones apuestan ya por el software de código abierto en lugar de por el software propietario para cumplir con los servicios y operaciones críticas, aunque apenas tienen control sobre su mantenimiento.
Por ello, algunas compañías privadas han decidido enfocarse en identificar y corregir vulnerabilidades antes de que los actores de amenazas las exploten.
Es el caso de Google, quien acaba de anunciar el lanzamiento de un programa de recompensas por vulnerabilidad de software de código abierto (OSS VRP), que ofrece hasta 31.337 euros para que los investigadores encuentren errores en el ecosistema open source.
La cuantía será mayor o menor dependiendo de la gravedad de la vulnerabilidad descubierta. Las mayores recompensas se otorgarán para proyecto sensibles, como Bazel , Angular , Golang , Protocol buffers y Fuchsia, según se hace eco Venture Beat.
Google cree que con un enfoque colaborativo se pueden mitigar las posibles vulnerabilidades en proyectos de código abierto que son ampliamente usados, pero no siempre tienen un respaldo financiero y un mantenimiento suficiente. Además, esto permite eliminar los posibles puntos de entrada a los entornos empresariales.
Cuestión de confianza
Las vulnerabilidades de día cero como Log4j y Log4Shell y violaciones de datos monumentales que afectaron a proveedores como SolarWinds y Codecov han mermado la confianza en la seguridad del software de código abierto. Según un estudio, el 41% de las organizaciones no se fía de la seguridad de estas herramientas.
Con OSS VRP la empresa de la gran G busca restaurar esa confianza en la cadena de suministro de software incentivando económicamente a los profesionales para que se pongan a la obra y encuentren los 'puntos flacos' y potenciales agujeros en estas herramientas.
"Google desarrolla y mantiene más de 10.000 proyectos de código abierto. Muchos de estos proyectos se utilizan ampliamente en infraestructuras críticas (por ejemplo, Golang, Tensorflow). Encontrar y reparar vulnerabilidades en estos proyectos críticos ayudará a mejorar la postura de seguridad del ecosistema de código abierto y otros usuarios”, subraya Francis Perron, gerente del programa técnico de seguridad de código abierto.