Una fundación española para la gestión de riesgo del 'software' libre

Una fundación española para la gestión de riesgo del 'software' libre

¿Quién puede negar que el principal motor económico tecnológico actual es el invisible 'software' libre?

UNSPLASH

Un artículo de José María Lancho y Julian Coccia.

Hace una década que el software libre derrumbó el principal axioma empresarial en la industria del software: el dominio absoluto tecnológico es la fuente principal de beneficio.

Hoy es prácticamente imposible que ninguna empresa o ningún usuario de tecnología que contenga informática no esté utilizando software libre. Nunca las cenizas de un paradigma económico de dominio han sido más fértiles, en su lugar la universalización de la comunicación móvil-informática, los servicios públicos de una Administración electrónica, incluso la supervivencia de núcleos industriales en occidente… todos estos paradigmas tienen con el software libre una deuda principal. Ha pasado a ser parte del núcleo de la vasta mayoría de los entornos de desarrollo corporativos, y no solo en aquellas empresas que en su momento se resistían, sino en tantas otras que hace una década ni siquiera contaban con equipos de desarrollo y hoy basan la mayoría de sus productos en software. ¿Quién puede argumentar que no utiliza software libre? ¿Quién puede negar que el principal motor económico tecnológico actual es el invisible software libre?

Éste ha generalizado dos elementos fundamentales: 1) acceso masivo, muy económico y simplificado a tecnología informática punta en continua actualización; 2) ha incrementado la seguridad jurídica para los sectores que demandan software en sus procesos productivos y de desarrollo de servicios.

La creciente adopción del software presenta un gran desafío para las empresas que consiste en la gestión de ese riesgo asociado con el software libre

Sin embargo, todas estas ventajas exigen un mínimo de reciprocidad y de asunción de responsabilidades elementales pues, rota la pirámide del viejo modelo de control y producción del conocimiento informático, se han desplazado lógica y democráticamente a los muchos nuevos agentes surgidos en la cadena de distribución y desarrollo del software. Entre ellas se trata de cumplir las mínimas exigencias legales de las licencias libres, preocupadas en garantizar la máxima accesibilidad al software y que, precisamente, las restricciones jurídicas al acceso y distribución del código informático no puedan ser, en sí mismas, un modelo de negocio con base en el código libre. Asimismo, un compromiso comunitario relativo a la seguridad sin la cual la nueva configuración informática de nuestra civilización no es posible.

Así la creciente adopción del software presenta un gran desafío para las empresas que consiste en la gestión de ese riesgo asociado con el software libre. Este riesgo se divide en tres categorías: la garantía del cumplimiento de las respectivas licencias, el debido monitoreo y gestión de incidencias de seguridad, y las correctas diligencias técnicas y de calidad a la hora de incorporar software libre de terceros.

Estas necesidades de los que desarrollan, distribuyen o utilizan software para sus procesos productivos necesitan un nuevo modelo de proceso de gestión y de herramientas para llevarlo a efecto. En materia de procesos, existe el reciente estándar ISO/IEC 5230 de la OpenChain (un proyecto de la Linux Foundation), cuyo objetivo es establecer las bases para una buena gestión del cumplimiento de licencias del software libre, estándar necesario, hasta que se hayan actualizado los demás estándares existentes relativos a la gestión de la seguridad y cumplimiento contractual.

No solamente se debe controlar el software existente previo a la implementación de dichos procesos, sino también se debe tener control sobre el error humano

En materia de herramientas, existe un amplia selección de opciones libres y gratuitas para el análisis de la composición del software (SCA por sus siglas en inglés software composition analisis). Si bien el establecimiento de los procesos de gestión es clave, también lo es la utilización de dichas herramientas ya que no solamente se debe controlar el software existente previo a la implementación de dichos procesos, sino también se debe tener control sobre el error humano. Esto último se torna vital en una era en la que un programador difícilmente resuelve un problema sin buscar antes si el problema no ha sido ya resuelto, proceso que muchas veces involucra, por ejemplo, la acción casi involuntaria de copiar y pegar código de alguna página web, sin advertir el efecto jurídico que puede meter código que implica condiciones legales específicas.

Siendo que toda licencia de software libre tiene unas condiciones jurídicas que se hacen efectivas a la hora de la distribución, las empresas se ven obligadas a cumplirlas ya que su infracción constituye una flagrante violación a los derechos de la propiedad intelectual. Y si bien este riesgo legal ha mantenido a las empresas más importantes de Europa, Estados Unidos y Asia ocupadas garantizando el cumplimiento de dichas licencias para evitar demandas de los respectivos autores, este año un caso en las cortes de California ha elevado un peldaño el nivel de este tipo de riesgo. La empresa estadounidense Vizio ha podido ser demandada con éxito en California por los propios usuarios de software por el incumplimiento de las licencias de software libre. Los demandantes en este caso no son los autores de las respectivas obras, argumentando que el incumplimiento de las licencias los priva de los derechos que las misma les garantizan como terceros (usuarios).

Son las herramientas SCA las que detectan la presencia de software libre en un código informático analizado, y lo hacen inclusive con meros trozos de código. Podrían entenderse como herramientas que proporcionan, entre otras cosas, protección contra plagio. El resultado final del análisis de una herramienta SCA es un inventario de software libre. Dicho inventario, o escandallo, en el mundo del software es conocido como SBOM (de sus siglas en inglés, Software Bill of Materials). Dichos SBOM solían tener la forma de una simple planilla de cálculo, pero la necesidad de intercambio de información y automatización de procesos llevó a la creación de estándares como el SPDX, que define un estándar abierto para la confección de SBOM. El proyecto SPDX está también auspiciado por la Linux Foundation.

Todo esto demuestra un ecosistema jurídico y técnico verdaderamente nuevo que necesita respuestas institucionales y autoregulatorias

Por otro lado, los certificados de componentes del software (SBOM) se han generalizado e implementado de forma multiplicativa en las grandes empresas, y especialmente en Estados Unidos como consecuencia de una orden ejecutiva del presidente Joe Biden con el objetivo de mejorar la ciberseguridad nacional. En dicha orden, Biden hace referencia explícita a la necesidad de adoptar por los agentes económicos el uso de los SBOM. De esta manera poder contabilizar el software libre usado en cada producto. Asimismo, el intercambio de SBOMs, garantiza la posibilidad de poder efectuar el debido análisis de las nuevas vulnerabilidades que surgen para cada componente de software libre, y la integridad y transparencia de la cadena de suministro de software.

Todo esto demuestra un ecosistema jurídico y técnico verdaderamente nuevo que necesita respuestas institucionales y autoregulatorias. Con el objetivo de garantizar la transparencia del software en las cadenas de suministro, nace desde España la Fundación para la Transparencia del Software, que es la primera en el mundo ofreciendo una plataforma pública y gratuita para generar y notarizar SBOM, poniendo al alcance de todos la posibilidad de hacer uso de una tecnología que hasta ahora solo estaba al alcance de las grandes empresas debido a su elevado costo.

La Fundación para la Transparencia del Software proporciona ya a empresas, comunidades o inclusive a programadores independientes, una plataforma para poder generar inventarios SBOM, y para poder notarizar dichos SBOM a través de una blockchain, de una manera completamente novedosa hemos escogido colaborar con la de BAES de la Universidad de Alicante. El objetivo con ello es la validación de integridad de los SBOM generados, y la relación con los SBOM predecesores, permitiendo así la trazabilidad completa dentro de la cadena de suministro de software. Esta Fundación es uno de los proyectos europeos más importantes y ambiciosos en el respaldo de la gestión del software libre a nivel mundial y pretende fortalecer toda una industria de servicios.