Los desarrolladores de código abierto dicen que proteger su código es una pérdida de tiempo devastadora


Una encuesta a casi 1.200 colaboradores de software program libre encontró que la seguridad ocupaba un lugar bajo en la lista de prioridades de los desarrolladores.

Desarrollador de software freelance mujer trabajando de noche

Un encuestado calificó la seguridad como «un obstáculo procesal insufriblemente aburrido».

Imagen: monstArrr_, Getty Illustrations or photos / iStockphoto

Una nueva encuesta de la comunidad de program libre y de código abierto (FOSS) realizada por la Fundación Linux sugiere que los contribuyentes dedican menos del tres por ciento de su tiempo a problemas de seguridad y tienen pocas ganas de aumentar esto.

Un informe basado en las respuestas de casi 1200 colaboradores de software libre realizado por la Fundación Linux y el Laboratorio de Ciencias de la Innovación de Harvard (LISH) destacó una «clara necesidad» de que los desarrolladores dediquen más tiempo a la seguridad de los proyectos de application libre a medida que las empresas y las economías se vuelven cada vez más dependiente del program de código abierto.

Contenido imprescindible para desarrolladores

La encuesta, que incluía preguntas diseñadas para ayudar a los investigadores a comprender cómo los colaboradores asignaban su tiempo al program libre, reveló que los encuestados dedicaron un promedio de solo el 2,27% de su tiempo complete de contribución a responder a problemas de seguridad.

Además, las respuestas indicaron que muchos encuestados tenían poco interés en aumentar el tiempo y el esfuerzo en seguridad. Un encuestado comentó que «encuentran que la empresa de la seguridad es una tarea devastadora y un tema que es mejor dejar para los abogados y fanáticos del proceso», mientras que otro dijo: «Encuentro la seguridad como un obstáculo procesal insufriblemente aburrido».

Los investigadores concluyeron que se necesitaría un nuevo enfoque de seguridad y auditoría de software program libre para mejorar las prácticas de seguridad, al tiempo que se limita la carga para los contribuyentes.

Algunas de las herramientas más solicitadas por los colaboradores fueron correcciones de errores y seguridad, auditorías de seguridad gratuitas y formas simplificadas de agregar herramientas relacionadas con la seguridad a sus canales de integración continua (CI).

«Existe una clara necesidad de dedicar más esfuerzos a la seguridad del software package libre, pero la carga no debe recaer únicamente en los contribuyentes», decía el informe.

«Los desarrolladores generalmente no quieren convertirse en auditores de seguridad quieren recibir los resultados de las auditorías».

VER: Comandos de Linux para la gestión de usuarios (TechRepublic Top quality)

Otras soluciones propuestas por los investigadores incluyeron alentar a las organizaciones a reorientar sus esfuerzos para identificar y abordar los problemas de seguridad en los propios proyectos. Alternativamente, los desarrolladores «podrían reescribir partes o componentes completos de proyectos de software package libre que son propensos a vulnerabilidades», en lugar de intentar reparar el código existente.

Los investigadores continuaron: «Una forma de mejorar la seguridad de una reescritura es cambiar de lenguajes que no son seguros para la memoria (como C o
C ++

) en lenguajes seguros para la memoria (como casi todos los demás lenguajes) «, dijeron los investigadores.

«Esto eliminaría clases enteras de vulnerabilidades, como desbordamientos de búfer y liberaciones dobles».

La diversidad de género, o más bien la falta de ella, fue otro hallazgo clave del informe.

De los 1.196 encuestados, el 91% informó ser hombre y tener entre 25 y 44 años. Los investigadores señalaron que los hallazgos «enfatizan las continuas preocupaciones acerca de la falta de representación femenina en las comunidades de application libre» y señalaron que la falta de representación femenina en el informe sugiere que los resultados «estaban sesgados hacia las actividades de software package libre de los colaboradores masculinos y están no es totalmente representativo de las contribuciones femeninas al software libre «.

La mayoría de los que respondieron a la encuesta eran de América del Norte o Europa, y la mayoría trabajaba a tiempo completo. Casi la mitad (48,7%) dijo que su empleador le pagó por el tiempo dedicado a las contribuciones de fuente abierta, mientras que el 44,02% dijo que no se le pagó por ningún otro motivo.

VER: Los 5 principales lenguajes de programación que deben aprender los administradores de sistemas (PDF gratuito) (TechRepublic)

Curiosamente, los resultados indicaron que la pandemia COVID-19 había tenido
poco impacto en el estado laboral de los contribuyentes,

y muy pocos encuestados informaron estar fuera de la fuerza laboral. Nuevamente, los investigadores señalaron que debido a la falta de representación femenina en la encuesta, «estos hallazgos pueden no reflejar las experiencias de las mujeres que contribuyen al software libre, en individual aquellas afectadas por el aumento de responsabilidades familiares durante la pandemia».

Si bien la abrumadora mayoría de los encuestados (74,8% estaban empleados a tiempo completo y más de la mitad (51,6% por ciento) recibieron un pago específico para desarrollar program libre, el dinero obtuvo una puntuación muy baja en las motivaciones de los desarrolladores para contribuir a proyectos de código abierto, al igual que un deseo para el reconocimiento entre pares.

En cambio, los desarrolladores dijeron que estaban puramente interesados ​​en encontrar funciones, arreglos y soluciones para los proyectos de código abierto en los que estaban trabajando. Otras motivaciones principales incluidas fueron el disfrute y el deseo de contribuir a los proyectos de software libre que utilizaron.

«La economía moderna, tanto electronic como física, depende cada vez más del software program libre y de código abierto», dijo Frank Nagle, profesor asistente de la Escuela de Negocios de Harvard.

«Comprender las motivaciones y el comportamiento de los colaboradores de FOSS es una pieza clave para garantizar la seguridad y la sostenibilidad futuras de esta infraestructura crítica».

Ver también



Enlace a la noticia authentic