La economía digital se basa en el código abierto. He aquí cómo protegerlo.
La creciente participación de las empresas privadas podría amenazar la viabilidad a largo plazo de este software esencial.
Por Hila Lifshitz-Assaf y Frank Nagle
Tecnología y analítica
Harvard Business Review
#Doxa #tecnología #analytics #analítica #codigo #economía #ciberseguridad #digital #gestión $TI
Resumen. El software gratuito y de código abierto (FOSS) es esencial para gran parte de la tecnología que usamos todos los días, desde automóviles hasta teléfonos, aviones y la nube. Si bien tradicionalmente fue desarrollado por un ejército de desarrolladores voluntarios y se regalaba de forma gratuita, las empresas están asumiendo cada vez más un papel más activo en su desarrollo. Pero a medida que las empresas compran empresas de código abierto, traen el desarrollo internamente y escinden sus propias versiones con fines de lucro de los productos FOSS, podrían estar poniendo en peligro el futuro de este software esencial. Para mantener la viabilidad y la seguridad del software libre, las empresas deben: 1) tener una política clara hacia el código abierto, preferiblemente una que aliente a los empleados a contribuir al software libre si es posible, 2) aumentar su nivel de conciencia sobre el software libre que utilizan y mantenerse informados de sus vulnerabilidades, y 3) tener en cuenta la estabilidad del software que utilizan e incentivar las contribuciones de sus empleados para que se centren tanto en funciones útiles para la empresa como en la seguridad y el mantenimiento generales.
Aunque la mayoría de la gente no se da cuenta, gran parte de la tecnología en la que confiamos todos los días se ejecuta en software gratuito y de código abierto (FOSS). Los teléfonos, automóviles, aviones e incluso muchos programas de inteligencia artificial de vanguardia utilizan software de código abierto como el sistema operativo del kernel de Linux, los servidores web Apache y Nginx, que ejecutan más del 60% de los sitios web del mundo, y Kubernetes, que impulsa computación en la nube. La sostenibilidad, la estabilidad y la seguridad de estos paquetes de software es una preocupación importante para todas las empresas que los utilizan (que son esencialmente todas las empresas). Pero a diferencia del software tradicional de código cerrado, que las empresas construyen internamente y venden, el software libre es desarrollado por un ejército anónimo de desarrolladores normalmente no remunerados, y normalmente se regala de forma gratuita.
En los últimos años, hemos observado un aumento en el papel activo de las corporaciones en el software de código abierto, ya sea asignando empleados para contribuir a proyectos de código abierto existentes o abriendo su propio código tanto para permitir que la comunidad lo utilice como para ayudar. mantenlo. Dado que las empresas han incorporado el software libre a su modelo empresarial, también han adquirido importantes productores de software libre. Hace dos años, IBM compró Red Hat, una de las empresas más exitosas construidas alrededor de FOSS por $ 34 mil millones. Un año antes de eso, otros gigantes tecnológicos pagaron miles de millones para adquirir una participación en FOSS, sobre todo Microsoft ( compró GitHub por $ 7.5 mil millones ) y Salesforce.com ( compró MuleSoft por $ 6.5 mil millones ).
La entrada del mundo empresarial en las comunidades en línea gratuitas y de código abierto ha causado serias preocupaciones y fricciones. Las adquisiciones de productores de software libre podrían llevar a un desplazamiento de los contribuyentes voluntarios en una medida que amenace la salud futura del ecosistema de software libre. Además, los proveedores de nube más grandes del mundo han creado negocios de miles de millones de dólares sobre componentes de software libre, lo que lleva a los contribuyentes de software libre a preguntarse por qué dedican su tiempo libre a enriquecer a los ricos. Tales acciones pueden disuadir a los voluntarios de contribuir, amenazando el espíritu subyacente de la comunidad de software libre.
Un caso particularmente polémico es el reciente conflicto entre Elastic y Amazon. Elastic, una empresa pública cuyo software Elasticsearch impulsa la actividad de búsqueda en numerosos sitios web corporativos como Walmart y Audi, luchó con Amazon después de que el gigante en línea tomó una versión de Elasticsearch que Elastic había hecho de código abierto, la reempaquetó y la vendió a sus clientes bajo casi el mismo nombre. Elastic argumentó que, esencialmente, Amazon tomó código gratuito que creaba valor para toda la comunidad y lo aisló para que fueran los únicos que pudieran capturar valor de él.
Con el apoyo de la Fundación Linux y en conjunto con la Fundación de Seguridad de Código Abierto de todas las industrias, hemos llevado a cabo dos esfuerzos de investigación complementarios, uno centrado en realizar un censo del uso de FOSS y el otro en comprender las motivaciones de los contribuyentes de FOSS, buscando comprender mejor estas preocupaciones. Para el primero, nos asociamos con empresas de análisis de composición de software y seguridad de aplicaciones, incluidas Snyk y Synopsys, para obtener información amplia sobre el uso de software libre en aplicaciones de producción mediante la realización de un censo de este software fundamental para identificar los paquetes de software libre más utilizados. Para el segundo, realizamos una encuesta global a gran escalade la comunidad de desarrolladores de software libre que preguntó por qué los desarrolladores contribuyen a proyectos específicos de software libre, cómo perciben las importantes inversiones financieras de las empresas y qué prácticas de seguridad utilizan (un problema considerable en software libre). Esto es lo que encontramos.
Respecto a los hallazgos
La pregunta más importante con respecto a la creciente participación de las empresas en el software libre es si tendrá un impacto negativo en la salud y el bienestar futuros del ecosistema de software libre. ¿Dejarán de participar los desarrolladores que crean el software en el que todos confiamos en un sistema que está impulsado menos por un sentido de comunidad y más por la búsqueda de ganancias? ¿Se centrarán las empresas exclusivamente en el software libre rentable mientras ignoran otras piezas críticas de la infraestructura de la que depende la sociedad? ¿Será más difícil mantener la seguridad de este software? Si una mayor parte del trabajo en software libre lo realizan empresas individuales, ¿habrá menos ojos en busca de errores y vulnerabilidades potenciales? Si la respuesta a cualquiera de estas preguntas es afirmativa, eso es un mal augurio para el futuro del software de código abierto.
Los resultados preliminaresde nuestro censo revelan dos tendencias preocupantes que podrían hacer que el software libre sea más vulnerable a las violaciones de seguridad. En primer lugar, descubrimos que muchos de los paquetes de software libre más utilizados en software comercial están alojados en cuentas de desarrolladores individuales (en lugar de comunidades más amplias), lo que plantea el problema no solo de seguridad, sino también de confiabilidad. Una persona puede aceptar un nuevo trabajo, puede decidir jubilarse o, la fortuna no lo quiera, ser atropellado por el proverbial autobús y volverse incapaz de mantener el proyecto. Es posible que las cuentas individuales tampoco tengan suficientes garantías para evitar ataques potencialmente peligrosos de piratas informáticos. En segundo lugar, descubrimos que muchas empresas están utilizando versiones obsoletas de programas de código abierto, un hallazgo preocupante, aunque no necesariamente sorprendente.No mantenerse al tanto de las actualizaciones significa que es más probable que el software contenga errores conocidos y debilidades de seguridad. Ambas tendencias reflejan que la seguridad es a menudo una ocurrencia tardía.
Los resultados de la encuesta también revelaron que las motivaciones de los contribuyentes pueden requerir que las empresas utilicen incentivos no tradicionales. Aunque cada vez más los contribuyentes son patrocinados por empresas, el principal motivador de estos contribuyentes no es el dinero. Esto significa que las palancas tradicionales de las corporaciones para incentivar el comportamiento pueden no funcionar, y es posible que sea necesario confiar en motivaciones más intrínsecas, incluida la pasión por aprender, el sentido de pertenencia a las comunidades de software libre y la identidad profesional de los programadores. Por lo tanto, cualquier empresa, organización o gobierno que busque mejorar la seguridad del software libre debería centrarse en apelar a estas motivaciones intrínsecas, en lugar de simplemente pagar a los contribuyentes para que trabajen en la seguridad. Alternativamente, las empresas podrían pagar armas contratadas para trabajar específicamente en cuestiones de seguridad. De cualquier manera,Nuestra encuesta revela que es poco probable que tenga éxito esperar que los contribuyentes aborden voluntariamente los problemas de seguridad.
Cómo pueden ayudar las empresas
Nadie, ciertamente no nosotros, está sugiriendo que debemos remontarnos a los primeros días del software libre, cuando era principalmente un esfuerzo voluntario de personas de ideas afines. Pero recomendamos a los grandes actores como empresas y gobiernos, que patrocinan cada vez más el software libre tanto directa como indirectamente, que comprendan el impacto que tienen en el futuro del ecosistema del software libre y sigan algunos principios rectores.
En primer lugar, el objetivo tanto de las empresas como de los países debe ser lograr el equilibrio adecuado: ver que el software libre continúa creciendo sin apagar el espíritu comunitario que ha estado en el centro de las motivaciones para contribuir. Esto significa que las empresas deben tener una política clara hacia el código abierto (preferiblemente una que aliente a los empleados a contribuir al software libre si es posible). Nuestra investigación descubrió que muchos empleados no tienen una comprensión clara de las políticas de software libre de su empresa, lo que los hace dudar a la hora de utilizar y contribuir abiertamente a los proyectos de software libre. Además, pueden apoyar estos proyectos de forma proactiva para garantizar su salud en el futuro.
En segundo lugar, las empresas que utilizan FOSS (que son esencialmente todas las empresas, lo sepan o no) deben aumentar su nivel de conciencia sobre el FOSS que utilizan. Una orden ejecutiva presidencial reciente requiere que se proporcione una lista de materiales de software (SBOM) para cualquier producto comprado por el gobierno para que sepa qué FOSS (y software propietario) está incluido en el producto y, por lo tanto, puede estar al tanto de las posibles vulnerabilidades que surjan.. Este es un ejemplo importante que todas las empresas deberían considerar seguir. Hacer esto permitiría a las empresas comprender mejor su dependencia de la comunidad de software libre, generaría más transparencia y les permitiría saber cuándo son susceptibles a las vulnerabilidades detectadas recientemente.
En tercer lugar, a medida que las empresas continúan contribuyendo al software libre, les sugerimos que tengan en cuenta la estabilidad del software que utilizan, que incentiven las contribuciones de sus empleados para que se centren tanto en las funciones útiles para la empresa como en la seguridad y el mantenimiento generales, y Sea consciente de que la comunidad de voluntarios detrás de estos proyectos es fundamental y debe ser protegida. De esta manera, no solo se benefician de las nuevas funciones que están agregando, sino que también garantizan la salud y el bienestar futuros del software libre en el que dependen.
El software gratuito y de código abierto es un engranaje vital en la economía, al igual que las carreteras interestatales, la red eléctrica o la red de comunicaciones. Teniendo en cuenta lo mucho que ya sabe acerca de esos sistemas de infraestructura crítica, no sólo tiene sentido para aprender tanto sobre su 21 st equivalente del siglo? Con la cantidad de partes interesadas involucradas en el ecosistema de software libre, es difícil para un solo actor resolver todos los problemas. Por lo tanto, es probable que sea necesario un esfuerzo de múltiples partes, incluidas empresas, organizaciones gubernamentales y contribuyentes individuales, para garantizar la seguridad y vitalidad del ecosistema de software libre en el futuro. Sin embargo, primero se debe comprender el alcance del problema. Creemos que nuestros esfuerzos son uno de los primeros pasos en esa dirección.
Nota del autor: si desea obtener más información o participar, puede leer el informe sobre los resultados de la encuesta o leer el informe preliminar sobre el uso de software libre y registrarse para participar en nuestra próxima encuesta para colaboradores o participar en la iniciativa.
Hila Lifshitz-Assaf es profesora asociada de tecnología, operaciones y estadística en NYU Stern. Vea la biografía de la facultad de Hila aquí.
Frank Nagle es profesor asistente en Harvard Business School, donde estudia y enseña temas en la intersección de la tecnología y la estrategia. Anteriormente, trabajó en el campo de la ciberseguridad durante casi una década.
No hay comentarios:
Publicar un comentario