13 jun 2016

Nace SOS para supervisar proyectos Open Source de seguridad

Muchos defienden las ventajas del Open Source a nivel de seguridad, sin embargo, esto no quiere decir que el código de los proyectos que adoptan este concepto de software no requiera de recursos para ser supervisado, y muchas veces estos son insuficientes. Esto abre la puerta a que vulnerabilidades y puertas traseras puedan estar presentes durante meses e incluso años sin poder ser detectados.

Con el fin de movilizar e impulsar más recursos para la supervisión del código de proyectos Open Source, Mozilla ha anunciado un fondo bautizado como Secure Open Source (SOS), con la intención de obtener recursos para la supervisión de proyectos Open Source en los cuales la seguridad es algo crítico.

Desde Mozilla no dudan en recordar en gran revuelo generado por vulnerabilidades como Shellshock y Heartbleed, los cuales dejaron en evidencia buena parte de la infraestructura de Internet y llegaron a aparecer incluso en medios de comunicación generalistas. Según la fundación, a pesar de aquellos incidentes, el soporte para asegurar la seguridad del software Open Source es algo que sigue pendiente, algo que fue confirmado por un grupo de 32 profesionales en seguridad en 2015. Debido a esto, decidió poner en marcha Secure Open Source.

Secure Open Source "ofrecerá auditoría en seguridad, rehabilitación y verificación para proyectos de código abierto claves. El fondo es parte del programa Mozilla Open Source Support (MOSS) y se le ha asignado un fondo inicial de 500.000 dólares que cubrirán las auditorías de algunas de las librerías y programas Open Source más utilzados. Pero esperamos que esto solo sea el principio. Queremos ver a numerosos compañías y gobiernos que usan software Open Source unirse a nosotros y ofrecer apoyo financiero adicional. Desafiamos a esos beneficiarios del Open Source a pagar y ayudar en la seguridad de Internet", ha explicado Mozilla en una entrada en su blog.

Secure Open Source tendrá el foco puesto en los siguientes puntos:
  • Mozilla contratará y pagará a firmas profesionales en seguridad para auditar el código de proyectos.
  • Mozilla trabajará con los mantenedores de los proyectos para apoyar e implementar correcciones. También gestionará la divulgación.
  • Mozilla pagará por la rehabilitación del trabajo para que pueda ser verificado, para asegurar que todo error identificado haya sido corregido. 
Hasta ahora han analizado tres proyectos: PCRE (Perl-Compatible Regular Expressions), libjpeg-turbo y phpMyAdmin.

Veremos cómo funciona esta iniciativa de Mozilla. Sin duda es una gran idea para mejorar la seguridad de ciertos proyectos que son críticos, como OpenSSL, que aparentemente no están teniendo toda la supervisión que necesitan para garantizar la seguridad.

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!