La Open Source Security Foundation (OpenSSF) y la Linux Foundation lanzaron un plan de acción para mejorar la seguridad y la resiliencia del software de código abierto. Parte de eso es eliminar los lenguajes de programación que no son seguros para la memoria, como C y C++.
El plan de acción propone específicamente una inversión de 5,5 millones de dólares para eliminar las causas fundamentales de las vulnerabilidades al reemplazar los lenguajes que no son seguros para la memoria.
Los lenguajes de programación como C y C++ crean desafíos para la seguridad de la memoria y dificultades para encontrar y eliminar defectos.
Sin embargo, lenguajes como Go y Rust manejan la administración de memoria y otros tipos de tareas sensibles a la seguridad de forma segura de forma predeterminada.
Esto facilita a los desarrolladores evitar categorías de vulnerabilidades completas, según el plan.
Por contexto, en 2020 Google informó que el 70 % de las vulnerabilidades de Chrome se debieron a problemas de seguridad y administración de la memoria, y el 70 % de las vulnerabilidades de Microsoft entre 2006 y 2018 se debieron a problemas de seguridad de la memoria.
“Identificar componentes pequeños, autónomos y críticos que son buenos candidatos para ser reescritos en un lenguaje seguro para la memoria y facilitar estas reescrituras podría ayudar a eliminar una categoría completa de tales debilidades” dice el plan.
“Esta corriente proporcionaría recursos para ese trabajo de desarrollo, así como para las actividades asociadas de promoción, adopción y desarrollo comunitario para hacer que las nuevas bases de código sean el estándar de la industria”.
Estas propuestas de inversión se producen después de que los ejecutivos de Amazon, Microsoft, Google y otras importantes empresas tecnológicas pidieron en una reunión en la Casa Blanca mayores inversiones en seguridad de código abierto y un mejor apoyo a los desarrolladores.
El plan de acción que llegó después de una reunión en Washington DC el jueves pasado entre desarrolladores de código abierto y representantes del ecosistema y líderes de agencias federales de EE. UU., identifican 10 flujos de inversión que mejoran de manera concreta e inmediata la seguridad del software de código abierto, según la OpenSSF.
Según el plan, esos enfoques de inversión se basan en tres objetivos generales discutidos en la reunión de enero:
- Asegura la producción de seguridad de código abierto al prevenir las vulnerabilidades de seguridad en el código y los paquetes de código abierto en primer lugar.
- Mejora el descubrimiento y la reparación de vulnerabilidades acelerando el proceso de búsqueda y solución de problemas.
- Reduce el tiempo de respuesta de los parches del ecosistema para desarrollar y distribuir correcciones.
En general, los mantenedores de seguridad de código abierto a menudo no tienen suficientes recursos para contrarrestar a los actores de amenazas. Pero la financiación, la automatización y las economías de escala suficientes pueden abordar este desequilibrio.