Siete fundaciones de código abierto se están uniendo para crear especificaciones y estándares comunes para la Ley de Resiliencia Cibernética (CRA) de Europa, regulación adoptada por el Parlamento Europeo el mes pasado.
La Apache Software Foundation, Blender Foundation, Eclipse Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation y Rust Foundation revelaron sus intenciones de aunar sus recursos colectivos y conectar los puntos entre las mejores prácticas de seguridad existentes en el desarrollo de software de código abierto, y garantizar que la tan denostada cadena de suministro de software esté a la altura de la tarea cuando la nueva legislación entre en vigor dentro de tres años.
Componente
Se estima que entre el 70% y el 90% del software actual se compone de componentes de código abierto, muchos de los cuales son desarrollados de forma gratuita por programadores en su propio tiempo y por su cuenta.
La Ley de Resiliencia Cibernética se presentó por primera vez en forma de borrador hace casi dos años, con miras a codificar las mejores prácticas de ciberseguridad para productos de hardware y software vendidos en toda la Unión Europea. Está diseñado para obligar a todos los fabricantes de cualquier producto conectado a Internet a mantenerse actualizados con los últimos parches y actualizaciones de seguridad, con sanciones por deficiencias.
Estas sanciones por incumplimiento incluyen multas de hasta 15 millones de euros, o el 2,5% de la facturación global.
La legislación en su forma inicial provocó feroces críticas de numerosos organismos de terceros, incluidos más de una docena de organismos de la industria de código abierto que el año pasado escribieron una carta abierta diciendo que la ley podría tener un «efecto paralizador» en el desarrollo de software. El meollo de las quejas se centró en cómo los desarrolladores de código abierto “upstream” podrían ser considerados responsables de los defectos de seguridad en los productos posteriores, disuadiendo así a los mantenedores voluntarios del proyecto de trabajar en componentes críticos por temor a represalias legales (esto es similar a las preocupaciones que abundaban en todo el mundo). Ley de IA de la UE, que recibió luz verde el mes pasado).
La redacción de la regulación CRA ofrecía algunas protecciones para el ámbito del código abierto, en la medida en que los desarrolladores que no se preocupaban por comercializar su trabajo estaban técnicamente exentos. Sin embargo, el lenguaje estaba abierto a interpretación en términos de qué se incluye exactamente bajo el lema de “actividad comercial”: ¿contarían, por ejemplo, patrocinios, subvenciones y otras formas de asistencia financiera?
Finalmente se realizaron algunos cambios en el texto y la legislación revisada abordó sustancialmente las preocupaciones aclarando las exclusiones de proyectos de código abierto.
Aunque la nueva regulación ya ha sido aprobada, no entrará en vigor hasta 2027, lo que dará tiempo a todas las partes para cumplir con los requisitos y pulir algunos de los detalles más finos de lo que se espera de ellas. Y esto es para lo que se están uniendo las siete fundaciones de código abierto por ahora.
Documentación
La forma en que evolucionan muchos proyectos de código abierto ha significado que a menudo tengan documentación irregular (si es que la tienen), lo que dificulta el respaldo de las auditorías y dificulta que los fabricantes y desarrolladores posteriores desarrollen sus propios procesos de CRA.
Muchas de las iniciativas de código abierto con mejores recursos ya cuentan con estándares de mejores prácticas decentes, relacionados con aspectos como la divulgación coordinada de vulnerabilidades y la revisión por pares, pero cada entidad puede utilizar diferentes metodologías y terminologías. Al unirnos como uno solo, esto debería contribuir de alguna manera a tratar el desarrollo de software de código abierto como una “cosa” única sujeta a los mismos estándares y procesos.
Si a esto le sumamos otras regulaciones propuestas, incluida la Ley de Seguridad del Software de Código Abierto en EE.UU., queda claro que las diversas fundaciones y “administradores del código abierto” serán objeto de un mayor escrutinio por su papel en la cadena de suministro de software.
«Si bien las comunidades y fundaciones de código abierto generalmente se adhieren y han establecido históricamente las mejores prácticas de la industria en materia de seguridad, sus enfoques a menudo carecen de alineación y documentación completa», escribió hoy la Fundación Eclipse en una publicación de blog. «La comunidad de código abierto y la industria del software en general comparten ahora un desafío común: la legislación ha introducido una necesidad urgente de estándares de procesos de ciberseguridad».
La nueva colaboración, aunque inicialmente constará de siete fundaciones, estará encabezada en Bruselas por la Fundación Eclipse, que alberga cientos de proyectos individuales de código abierto que abarcan herramientas de desarrollo, marcos, especificaciones y más. Los miembros de la fundación incluyen a Huawei, IBM, Microsoft, Red Hat y Oracle.