El software de código abierto, conocido por sus siglas en inglés como OSS, permite ser usado, modificado y distribuido de forma libre y colaborativa para el mejoramiento y actualización en su funcionamiento. Por más de 20 años se ha consolidado como una alternativa a los productos limitados por derechos de autor, que suelen ser más costosos y dependientes de la compañía que los distribuye.
Para Felipe Gómez, LATAM Manager de Fluid Attacks, “una razón importante por la que el software de código abierto representa una ventaja para el desarrollo en las empresas es que los desarrolladores pueden utilizar el código que ya ha sido perfeccionado por la comunidad, sin tener que escribirlo desde cero. Pero también representa una oportunidad para que los proyectos hereden vulnerabilidades ya presentes en el código, por lo que es útil tener ciertos estándares para escogerlo”.
Para Fluid Attacks, estos son los cinco indicadores a tener en cuenta al momento de elegir un OSS:
● El código: es recomendable elegir OSS cuyo código sea comprensible, ya que esto facilita su modificación, sea para expandir sus funcionalidades o para remediar vulnerabilidades presentes en él. Es importante recordar que podemos encontrar vulnerabilidades en cualquier software, sea OSS o no, y estas pueden afectar la confidencialidad, integridad o acceso a los datos de las organizaciones. Por eso, la elección del OSS se convierte en una cuestión de qué tan probable es que se detecten y remedien las vulnerabilidades rápidamente.
● Licencias:cCumplir con las obligaciones de las licencias es especialmente complicado cuando los componentes de un programa tienen diferencias en cuanto a la libertad de uso, modificación o distribución. Entonces, los desarrolladores deben comprobar la compatibilidad de las licencias entre los componentes, dado que entre ellos puede haber restricciones.
● Popularidad: en un estudio encuestaron a 400 usuarios de Stack Overflow y descubrieron que estos perciben las estrellas de los proyectos en GitHub como la métrica más útil para evaluar su popularidad. Otros indicadores de popularidad son la cantidad de descargas y el número de desarrolladores suscritos. Considerar la popularidad ayuda a encontrar un producto de calidad, pues son preferibles los proyectos en los que los usuarios participan activamente en las discusiones y los informes de errores. “Las plataformas creadas para los desarrolladores y consumidores de OSS como red de apoyo en la construcción y mejoramiento de los códigos, permiten dar un respaldo de confianza y credibilidad a proyectos OSS que son valorados por más de 30 millones de usuarios en Internet, tal es el caso de GitLab”, explicó el vocero de Fluid Attacks.
● Desarrolladores: el número de desarrolladores que están constantemente trabajando en los proyectos OSS puede ser un indicador de compromiso con el mejoramiento del software. Por ello, las empresas que hagan uso de él pueden contar con mayor atención en cuanto a actualizaciones y a la solución de errores. En otras palabras, menor tiempo de respuesta a los problemas y un soporte constante por parte de la comunidad.
● Patrocinio: Detrás de proyectos OSS puede haber patrocinadores, como compañías y universidades, que pueden mejorar la publicidad y los recursos para la innovación. Una revisión de varios estudios de éxito de OSS sugiere que el patrocinio mejora la capacidad del OSS para afrontar los riesgos a la seguridad y la posibilidad de mantener el apoyo a largo plazo de los desarrolladores; sin embargo, estos auspicios también pueden restringir a la comunidad, limitando la innovación.
“A pesar de seguir todas las recomendaciones, esto no garantiza que el software escogido sea seguro. De hecho, el riesgo de sufrir un ciberataque por una vulnerabilidad en el software siempre está presente; lo importante es mitigarlo. Al recurrir a las pruebas de seguridad continuas que ofrece Fluid Attacks, las empresas pueden conocer las vulnerabilidades presentes en los programas que utilizan y buscar remediarlos rápidamente para mitigar los riesgos que existen para ellas y sus clientes”, concluyó Felipe Gómez.
