OPINIÓN

Análisis de vulnerabilidades del código abierto

Home Infraestructuras
Dirección copiada

A pesar de sus beneficios, una gestión inadecuada de vulnerabilidades y licencias puede tener consecuencias graves para las inversiones

Publicado el 29 nov 2024
codigo abierto

IDEAS CENTRALES
Crecimiento del software de código abierto: Su adopción es indispensable para las empresas debido a su capacidad para acelerar desarrollos, reducir costos y garantizar competitividad, pero requiere gestión adecuada de riesgos y licencias.
Riesgos asociados al código abierto: La falta de supervisión en las licencias, especialmente las restrictivas como la GNU GPL, puede llevar a problemas legales, pérdidas económicas y riesgos de propiedad intelectual.
Gestión de vulnerabilidades: Es fundamental realizar auditorías exhaustivas, incluyendo escáneres de vulnerabilidades y revisión de expertos, para identificar riesgos en licencias y garantizar el cumplimiento normativo.
Due diligence tecnológica: Los inversores deben priorizar evaluaciones tecnológicas completas, integrando herramientas avanzadas de análisis de código para proteger sus inversiones y evitar conflictos derivados del uso del software de código abierto.

Vulnerabilidades del código abierto

El panorama europeo está experimentando un notable crecimiento en el sector tecnológico impulsado por la priorización de inversiones en esta área por parte de los líderes empresariales. Reino Unido destaca como una de las tres únicas naciones en el mundo que ha generado más de 100 “unicornios tecnológicos” (empresas valoradas en más de mil millones de dólares). Esto subraya la importancia actual de que inversores y empresas reconsideren su enfoque en la reducción de los riesgos en las inversiones tecnológicas.

Enrique_OConnor_Vaultinum

El uso de código abierto es casi indispensable hoy en día, dado que permite a las empresas desarrollar productos más rápidamente, ganar cuota de mercado y obtener ventajas competitivas

ENRIQUE O’CONNORS, DIRECTOR GENERAL
DE VAULTINUM IBERIA Y LATAM

Aunque los esfuerzos en due diligence suelen centrarse en aspectos financieros, legales y operativos, la protección frente a riesgos relacionados con el software a menudo se queda corta. Esto es crítico, ya que el software es un activo esencial en casi todas las inversiones tecnológicas. La evaluación manual, llevada a cabo por personal no especializado, suele resultar insuficiente, especialmente en lo que respecta al uso de software de código abierto, lo que representa un riesgo significativo.

Software de código abierto: agilizando los desarrollos

El software de código abierto permite a los desarrolladores inspeccionar, modificar y redistribuir su código, diferenciándose del software de aplicación, diseñado para usuarios finales y cerrado a modificaciones. Su popularidad ha crecido significativamente, como lo demuestra el incremento del 35% en repositorios creados en GitHub en 2020 respecto al año anterior.

El uso de código abierto es casi indispensable hoy en día, dado que permite a las empresas desarrollar productos más rápidamente, ganar cuota de mercado y obtener ventajas competitivas. Este tipo de software tiene menos probabilidades de volverse obsoleto, ya que cuenta con el respaldo continuo de su comunidad, lo que también ayuda a superar desafíos de contratación y reduce costes.

A pesar de sus beneficios, una gestión inadecuada de vulnerabilidades y licencias puede tener consecuencias graves para las inversiones.

Restricciones de licencias de propiedad intelectual: ¿una amenaza para las inversiones?

Las licencias de código abierto, especialmente las “copyleft” o “no permisivas”, como la GNU GPL, pueden implicar que el software derivado debe ser distribuido bajo los mismos términos de la licencia original. Esto significa que incluso el uso de unas pocas líneas de código bajo una licencia como la GPL puede obligar a que todo el software resultante se someta a las mismas restricciones, poniendo en riesgo la propiedad intelectual de la empresa.

Otras infracciones guardan relación con los derechos de autor. Un ejemplo lo encontarmos en el caso Hancom: En 2013, Hancom incorporó un intérprete PDF de código abierto, Ghostscript, licenciado bajo la GPL, en su software. Esto implicaba que toda su suite debía ser de código abierto. Sin embargo, Hancom no cumplió con los términos ni adquirió una licencia comercial, lo que derivó en una demanda en 2017 por parte de Artifex. El Tribunal de Distrito de EE.UU. falló a favor de Artifex, causando pérdidas económicas, de reputación y de propiedad intelectual para Hancom. Una auditoría previa con un escáner de vulnerabilidades podría haber evitado este problema.

Gestión de las licencias de código abierto

Incluso cuando no son tan estrictas como la GNU GPL, todas las licencias de código abierto deben ser revisadas cuidadosamente por las empresas, para que sean plenamente conscientes de las restricciones que deben cumplir. Todas las licencias de código abierto comparten principios comunes inscritos en las “libertades esenciales” del movimiento de código abierto, lo que significa que son libres de usar, ejecutar, estudiar, modificar y redistribuir software de código abierto para cualquier propósito.

Debido a la amplia diversidad de licencias de código abierto, es una práctica estándar que las empresas supervisen y evalúen continuamente el código abierto que utilizan sus desarrolladores, como parte de su gestión de vulnerabilidades, para asegurarse de no incurrir en problemas de incumplimiento.

Cómo mejorar la gestión de las vulnerabilidades de código abierto

En la fase previa a la adquisición, los inversores deben asegurarse de implementar una due diligence de software completa que incluya un análisis de las restricciones de licencias de código abierto asociadas a un software. Las auditorías más exhaustivas suelen utilizar un escáner de vulnerabilidades, que puede escanear cada línea de código, combinado con una revisión por expertos.

De ahí que recurrir a soluciones de auditoría tecnológica que incluyen un escaneo del código fuente, lo que actúa como un escáner de vulnerabilidades de código abierto, sea una buena práctica. Esto revisa tanto el código como los procesos internos de la empresa (como su estrategia de gestión de código abierto) para reducir y evitar riesgos futuros. Además, los usuarios reciben cuestionarios de autoevaluación sobre ciberseguridad, propiedad intelectual, operaciones y software de terceros.

En definitiva, el uso de software de código abierto puede aportar grandes ventajas competitivas a las empresas, siempre y cuando se gestione adecuadamente, por eso, es importante que los inversores den prioridad a una due diligence tecnológica completa que incluya herramientas avanzadas como los escáneres de vulnerabilidades para minimizar riesgos y proteger sus inversiones.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

O
Enrique O'Connor

Temas

Canales

Artículos relacionados

  • NOTICIAS

    Congreso Autelsi: “La tecnología no es el futuro, sino que ya es el presente”

    25 Nov 2024

    por Ambrosio Rodríguez

    Compartir

  • OPINIÓN

    El futuro de los datos: de recurso a producto para potenciar la IA en las organizaciones

    08 May 2024

    por James Fisher

    Compartir

  • NOTICIAS

    Inetum se incorpora a la Fundación COTEC para la Innovación

    21 Jun 2024

    por Redacción Computing

    Compartir

  • ENTREVISTAS

    Vicent Bas, CTO de Better Care: “El paciente debe conocer qué modelos de IA se usan en su tratamiento”

    06 Nov 2024

    por Rufino Contreras

    Compartir

Siguiente

Congreso Autelsi: “La tecnología no es el futuro, sino que ya es el presente”

Artículo 1 de 5