¿Qué se puede hacer para reducir la amenaza de ataques como el de xz?
Esta semana, cualquiera que estuviese en el mundillo del desarrollo de software se llevó una sorpresa mayúscula con el descubrimiento de un ataque que era simple y sofisticado a partes iguales, y es que la vulnerabilidad en cuestión fueron el factor humano y la fatiga del personal que gestionaba una popular biblioteca de código abierto. Es bueno recordar que los equipos de mantenimiento son el recurso más vital y menos renovable de la comunidad de código abierto.
Está claro que tardaremos mucho tiempo en tener un diagnóstico completo y definitivo de todo lo que salió mal o tuvo que salir mal para que apareciera una vulnerabilidad tan grave y de tal alcance, pero sí sabemos que una de las causas que condujo a esta situación fue que el mantenimiento de una biblioteca importantísima estaba en manos de un pequeño equipo totalmente sobrepasado de responsabilidades, y esto lo sabemos porque —no nos engañemos— es lo habitual en el ámbito del código abierto.
Ahí es donde hay que abordar el problema, y mientras no lo hagamos, no servirán de nada los procesos o la tecnología que pongamos sobre la mesa. Fastly no se encuentra (¡todavía!) entre los gigantes multimillonarios del sector, y seguramente sean estos los que pueden proponer soluciones más ambiciosas y definitivas, pero todos debemos poner nuestro granito de arena, de ahí que queramos recalcar nuestro plan para ayudar a reducir el riesgo de que vuelvan a darse este tipo de vulnerabilidades.
No son solo palabras: es algo que ya llevamos tiempo haciendo.
Un apoyo útil
Solemos hablar con los equipos que llevan proyectos de código abierto (incluidos algunos de los proyectos más populares de la historia), y sin distinción de lenguaje, país, comunidad o parte del stack en el que trabajen, siempre se repiten ciertos puntos clave:
El mantenimiento de proyectos de código abierto importantes conlleva un coste personal y emocional altísimo.
La mayoría de la gente que realiza este tipo de actividades, además de no trabajar para ningún gigante tecnológico, prefiere no recibir el nivel de sueldo que conllevan esos puestos con tal de poder dedicar su tiempo a proyectos de código abierto.
Lo que quema a la gente no son errores lógicos de programación ni equivocaciones de algún voluntario sin malicia, sino los comentarios negativos, las actitudes individualistas y las noches en vela imprevistas.
Sirven y se agradecen el cariño y el esfuerzo esporádico de la comunidad por organizar campañas de apoyo, pero no llegan a compensar todas las tareas ingratas que están detrás de esa fatiga.
Ante este panorama, evaluamos cómo podíamos usar nuestros conocimientos y plataforma para mejorar de forma sustancial la vida de las personas que hacen posible tanto el código como el internet abiertos. Lo repetimos para darle la importancia que merece: el objetivo es apoyar a la gente que hacen posible el código abierto. Si lo conseguimos, todo es posible.
Esto suena muy bien pero, ¿qué implica en la práctica? Pues varios principios básicos que hemos seguido al crear y apoyar a Fast Forward, el programa de código abierto de Fastly:
En primer lugar, hazte oír. Queremos hablar, conectar y formar una comunidad con los equipos de mantenimiento del código abierto. Forjamos relaciones (sin esperar nada a cambio) y abrimos vías de comunicación a las que recurrir cuando pasemos por un mal momento.
Solicita cambios. Contribuimos, con nuestro tiempo y nuestro código, a los proyectos que apoyamos y utilizamos. Nos esforzamos por que todos los integrantes de la organización sepan que pueden (con todo nuestro aliento) sumar en las comunidades de código abierto de las que formen parte.
Por último, un compromiso económico significativo y por escrito a apoyar al mundo del código abierto. Aplicamos para bien el viejo dicho de «poderoso caballero es don Dinero»: en Fastly tenemos un presupuesto de 50 millones de dólares para apoyar directamente proyectos de código abierto. Este compromiso, que es conocido públicamente, no es el final sino el principio.
¿Y cómo se plasma todo esto en el mundo real? Veamos lo que dijo Hannah Aubry, responsable del programa Fast Forward, en su discurso de apertura en la reciente conferencia Rust Nation.
A modo de ejemplo, fijémonos en lo que declaró Joel Marcey, de la Rust Foundation, acerca del apoyo que presta Fastly a su importante trabajo: «Esta clase de colaboraciones son las que aportan crecimiento y sostenibilidad a Rust cara al futuro». Queremos que todo proyecto de código abierto sienta este nivel de apoyo y estabilidad.
Con vistas al futuro
Es evidente que todo este trabajo no es más que el principio, y no es más que una pequeña parte de un esfuerzo mucho más amplio que nos toca a todos para apoyar el ecosistema del código abierto y, en especial, a las personas que son la clave de su éxito. Podremos hablar largo y tendido en el futuro, pero centrándonos en el presente, si te encargas del mantenimiento de un proyecto de código abierto y te preocupa cómo ampliar las capacidades o la seguridad de tu infraestructura, escríbenos y evaluaremos si te puede ayudar formar parte de nuestro programa Fast Forward.