El desarrollo de software moderno se sostiene en gran medida sobre proyectos de código abierto. Prácticamente cualquier sistema de producción actual, desde la inteligencia artificial hasta cargas de trabajo móviles o en la nube, incorpora componentes de código abierto. Estos elementos actúan como infraestructura invisible del software, siendo herramientas esenciales que pocos cuestionan aún cuando nunca piensan en ellas.
Proyectos como curl, que mueve datos para miles de millones de sistemas, y Python junto a bibliotecas como pandas y SciPy, son fundamentales para investigaciones de modelos de lenguaje y flujos de trabajo ETL. Asimismo, Node.js, LLVM y Jenkins moldean la manera en que se compila, prueba y distribuye el software en diversas industrias.
Garantizar la seguridad de estos proyectos es crucial para que los equipos puedan implementar automatizaciones, herramientas mejoradas por IA y ciclos de liberación de software más rápidos sin aumentar el riesgo. Cuando no se asegura, el impacto puede cruzar las fronteras de los proyectos, afectando desde registros hasta sistemas de producción, incluidos los de inteligencia artificial.
El GitHub Secure Open Source Fund tiene precisamente como misión asegurar los proyectos de código abierto que sustentan la cadena de suministro digital, promoviendo la innovación. Este fondo asocia sus recursos al logro de objetivos de seguridad verificados, brindando a los mantenedores entrenamiento en seguridad, y una comunidad para discutir preocupaciones de alto riesgo.
La importancia de proteger proyectos críticos de código abierto radica en que un único servicio de producción puede depender de cientos o miles de dependencias transitivas. Como lo demostró el incidente de Log4Shell, la alteración de un proyecto ampliamente utilizado puede tener repercusiones que superan las barreras de una sola aplicación o empresa.
La inversión en seguridad para proyectos de uso extendido tiene múltiples beneficios: solidificar la seguridad como requisito básico del software moderno, proporcionar a los mantenedores recursos para trabajo proactivo de seguridad y reducir el riesgo sistémico en la cadena de suministro global de software.
Durante la tercera sesión del programa de GitHub, 67 proyectos mejoraron significativamente en términos de seguridad, protegiendo la infraestructura de software que se utiliza a diario en todo el mundo.
Cada sesión del programa es un sprint de tres semanas dentro de un ciclo de 12 meses, donde se ligan directamente la financiación y la participación a objetivos de seguridad concretos y mejorados.
Entre los proyectos destacados de la tercera sesión se encuentran lenguajes de programación y tiempos de ejecución como CPython y LLVM, librerías de infraestructura web como curl, y herramientas de automatización como Jenkins. En el ámbito de la ciencia de datos y la inteligencia artificial, proyectos como pandas y SciPy han incrementado su cobertura de seguridad, mientras que en el campo de la identidad y la gestión de secretos, la implementación de capacidades de modelado de amenazas ayuda a fortalecer la confianza en los sistemas dependientes.
La comunidad de código abierto está desempeñando un papel crucial en la configuración de la seguridad en la era de la inteligencia artificial. Mantener la seguridad de la infraestructura compartida es fundamental para el mantenimiento básico de internet. El programa de GitHub ofrece entrenamiento de seguridad a los desarrolladores, permitiendo impactos a gran escala mediante la educación de muchos a través de uno.
El Fondo invita a nuevos proyectos a unirse a sus esfuerzos para asegurar la cadena de suministro del software a gran escala, incentivando a los desarrolladores a participar y contribuir a un futuro más seguro en el ámbito del código abierto.
vÃa: Github Open Source
