Seguridad

Mozilla facilitará el acceso a auditorías de código a proyectos libres

Mozilla_dinosaur_head_logo
Escrito por Marcos Merino

El fondo Secure Open Source (SOS) financiará la labor de limpiar de vulnerabilidades el código de algunos de los principal proyectos de código abierto.

La Fundación Mozilla lanzó esta semana el ‘Secure Open Source Found’ (SOS) , con la misión de contribuir a librar a los proyectos de software de código abierto de las vulnerabilidades de su código. En palabras de Chris Riley, Jefe de Política Pública de Mozilla, “el fondo es parte del programa Mozilla Open Source Support (MOSS) y se le ha asignado un presupuesto inicial de 500.000 dólares, que cubrirá las auditorías de algunos de los programas y librerías de código abierto de mayor difusión”.

“Esperamos que esto sea sólo el principio y que las numerosas empresas y gobiernos que utilizan código abierto se unan a nosotros y proporcionen apoyo financiero adicional. Desafiamos a estos beneficiarios del código abierto a ser los primeros en contribuir y ayudar a asegurar Internet“. Los proyectos que soliciten la ayuda de Mozilla habrán de estar activos y desarrollar software libre / de código abierto, sus posibilidades aumentarán si es software de uso común y/o si resulta vital para garantizar el funcionamiento de Internet (por ahora, ya han pasado por este proceso tres proyectos: PCRE, libjpeg-turbo y phpMyAdmin). Así, los proyectos que cumplan con los requisitos lograrán:

  • Que una empresa de seguridad profesional audite su código.
  • La ayuda de Mozilla a la hora de divulgar y corregir los bugs.
  • Una segunda auditoría de código para verificar que las correcciones funcionan de manera adecuada.

El papel del SOS frente a otras iniciativas similares

Viendo todo esto, surge una duda. ¿Cómo encaja el SOS de Mozilla con la CII (Core Infrastructure Initiative) de la Fundación Linux? ¿Rivaliza con ella? ¿Se dirigen al mismo tipo de software? La Fundación Mozilla lo ha dejado claro: “Aquí va una respuesta corta: Creemos que nuestro modelo de apoyo es diferente y complementario de la CII”. La fundación ve dicha iniciativa como algo centrado en los pilares de seguridad del sistema operativo, en el software crítico del sistema (como ocurrió en el caso de OpenSSL).

Sin embargo, “la metodología de auditoría y del fondo SOS se dirige a una clase diferente de proyectos de software libre con menores requerimientos de seguridad. […] Creemos que tanto el Fondo SOS como CII y otras iniciativas pueden ayudar a catalizar los esfuerzos de la industria para fortalecer la seguridad del código abierto”.

Vía | The Mozilla Blog

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.