Google propone hacer que ciertos proyectos open sourced se vuelvan closed sourced

Google propone hacer que ciertos proyectos open sourced se vuelvan closed sourced 

Cuando el Open Source es menos Open

Los responsables de la división de seguridad en Google argumentan que los últimos problemas de seguridad y el caso de Solar Winds quizás deberían hacernos cambiar el enfoque del Open Source, al menos para según qué cosas.

En su opinión la industria debería acceder a "definir colectivamente el conjunto de paquetes software críticos" que estuviesen bajo esos estándares especiales.

Cinco serían los pilares de ese tipo de código Open Source especial:

1.-Prohibidos los cambios unilaterales: si alguien quiere cambiar algo, necesitará que sus cambios sean revisados y aprobados por dos personas independientes.

2.-Autenticar a los participantes: los propietarios y mantenedores del proyecto no pueden ser anónimos, y los que contribuyen estarían obligados a usar sistemas de autenticación fuertes como la verificación en dos pasos.

3.-Notificaciones: debería avisarse de qué cambios pueden plantear riesgos de seguridad en ese proyecto software.

4.-Transparencia: si se sospecha de que el software puede generar conflictos, debe avisarse también.

5.-Generar métodos para garantizar la confianza en este proceso de desarrollo.

Para estos desarrolladores las medidas son lógicamente molestas e incómodas para la comunidad de desarrolladores, "pero creemos que las limitaciones adicionales son fundamentales para la seguridad". Con ello, explican, se podrían detectar, prevenir y corregir o eliminar potenciales vulnerabilidades.

Uno de los argumentos más conocidos de la defensa del modelo Open Source en el ámbito de la ciberseguridad es que se evita la peligrosa "seguridad a través de la oscuridad" que el opaco código propietario tiene. "El software Open Source debería tener menos riesgos en el ámbito de la seguridad ya que tanto el código como las dependencias están abiertas y libres para que cualquiera las inspeccione y verifique", explicababan, "pero aunque eso es generalmente cierto, también se asume que la gente realmente inspecciona ese código".

En el código Open Source además se suele hacer uso de muchas más dependencias que en el código propietario, lo que obliga a que la confianza en todas esas entidades en las que se basan esas dependencias deba ser muy alta. Será interesante ver si esta propuesta de Google acaba definiendo algún tipo de medida colectiva en el mundo Open Source.