Habiendo estado en ActiveState durante casi ocho años, he visto muchas versiones de nuestro producto. Sin embargo, una cosa se ha mantenido cierta a lo largo de los años: nuestro compromiso con la comunidad de código abierto y las empresas que utilizan código abierto en su código.
ActiveState lleva más de una década ayudando a las empresas a gestionar el código abierto. En sus inicios, el código abierto estaba en su infancia. Nos centramos principalmente en el caso de los desarrolladores, ayudando a conseguir código abierto en plataformas como Windows.
Con el tiempo, nuestro enfoque pasó de ayudar a las empresas a ejecutar código abierto a apoyar a las empresas que administran código abierto cuando la comunidad no lo producía de la manera que lo necesitaba. Comenzamos a gestionar compilaciones a escala y a ayudar a las empresas a comprender qué código abierto están utilizando y si es compatible y seguro.
La gestión del código abierto a escala en una organización grande puede resultar compleja. Para ayudar a las empresas a superar esto y estructurar su práctica de DevSecOps de código abierto, presentamos nuestra plataforma de extremo a extremo para ayudar a gestionar la complejidad del código abierto.
El estado actual del código abierto y la seguridad de la cadena de suministro
Es inevitable que con la creciente popularidad del código abierto surjan problemas de seguridad. La adopción de código abierto en las aplicaciones de software modernas es significativa. Más del 90% de las aplicaciones contienen componentes de código abierto. El código abierto es ahora el núcleo de la forma en que producimos software, y hemos llegado a un punto en el que es el vector principal para que los malos actores obtengan acceso a casi cualquier pieza de software.
Los ataques han existido desde siempre, pero ha habido un número cada vez mayor de incidentes en los últimos años. La pandemia generó nuevas oportunidades para los malos actores. Cuando la gente usaba sus propias redes domésticas y VPN con medidas de seguridad menos estrictas, empezó a permitir más riesgos. A pesar de los esfuerzos por regresar a la oficina, muchos trabajadores de TI todavía están en casa, por lo que estas oportunidades aún existen.
Además, muchas empresas no cuentan con procesos establecidos sobre cómo elegir y adquirir software de código abierto, por lo que los desarrolladores lo encuentran e incorporan a ciegas. El desafío es que las empresas no saben de dónde proviene el código fuente abierto, quién lo creó y con qué intenciones. Esto crea múltiples oportunidades para que se produzcan ataques a lo largo del proceso de la cadena de suministro de software de código abierto.
El código abierto es un ecosistema abierto, lo que lo hace vulnerable “por diseño”. Debe ser lo más abierto posible para no impedir que los autores contribuyan, pero existe un verdadero desafío para mantenerlo seguro durante todo el proceso de desarrollo.
Los riesgos no sólo existen cuando se importa. Si su servicio de compilación no es seguro cuando comienza a compilar, puede estar en riesgo. Muchos de los ataques más recientes que hemos visto son ataques a la cadena de suministro de software de código abierto, no vulnerabilidades. Esto requiere un enfoque completamente nuevo para la seguridad del código abierto.
Reimaginando el proceso de gestión de código abierto
En ActiveState, nuestra misión es aportar rigor a la cadena de suministro de código abierto. Las empresas pueden obtener una mejor visibilidad y control sobre su código fuente abierto en DevSecOps centrándose en un ciclo de gestión de cuatro pasos.
Paso 1: descubrimiento
Antes de que pueda siquiera comenzar a corregir las vulnerabilidades, necesita saber qué está utilizando en su código. Es importante hacer un inventario de todo el código abierto que se ejecuta dentro de su organización. Un artefacto de este esfuerzo podría parecerse a un tablero.
Paso 2: Priorización
Una vez que tenga el panel, puede comenzar a analizar vulnerabilidades y dependencias y priorizar en cuáles centrarse primero. Comprender dónde están los riesgos en su código base y clasificarlos le ayudará a tomar decisiones informadas sobre los próximos pasos.
Paso 3: actualización y curación
Ahora viene la fase de remediación y gestión de cambios. Querrá establecer gobernanza y políticas para administrar el código abierto en toda su organización para mantener a todos alineados en todas las funciones y equipos.
También debe gestionar de cerca qué dependencias se utilizan tanto en los entornos de producción como de desarrollo para minimizar el riesgo.
En nuestra plataforma mantenemos un gran catálogo inmutable de software de código abierto. Mantenemos un registro consistente y reproducible de alrededor de 50 millones de componentes de versión, y lo ampliamos constantemente. Ayuda a nuestros usuarios a asegurarse de que siempre puedan volver a compilaciones reproducibles. Significa que puedes seleccionar todo Internet para obtener código abierto mientras confías en que es seguro.
Paso 4: construir e implementar
La fase de construcción e implementación implica incorporar componentes de código abierto seguros en su código, porque no estará realmente solucionado ni seguro hasta que se implementen las correcciones. En ActiveState, creamos y rastreamos todo. Desde que ingerimos el código fuente hasta que lo integramos en un clúster seguro. Luego se lo entregamos en una variedad de formatos para que lo implemente según sus necesidades. Somos la única solución (que sepamos) que realmente ayuda a las empresas a remediar e implementar, completando el ciclo de vida completo para garantizar la seguridad de la cadena de suministro de software.
Un nuevo ActiveState: abordar de frente los desafíos de seguridad del código abierto
A través de nuestro trabajo en código abierto durante la última década, hemos descubierto que existe una brecha entre las comunidades apasionadas que producen código abierto y las empresas que quieren utilizarlo en su software. Ahora estamos ayudando a cerrar esa brecha, potenciando el ecosistema de código abierto y al mismo tiempo brindando seguridad a las organizaciones.
La plataforma actualizada que hemos desarrollado y nos hemos centrado en facilitar la colaboración entre varios actores de las organizaciones, incluidos desarrolladores, DevOps y seguridad. Nuestra plataforma ayuda a los equipos a ejecutar sin problemas un ciclo continuo de gestión de código abierto.
Hay seis casos de uso clave en los que nos centramos para ayudar a los equipos a generar resultados.
- Descubribilidad y observabilidad: Obtenga información completa sobre todo, desde el uso de código abierto hasta las ubicaciones de implementación.
- Integración continua de código abierto: Mantenga su código actualizado, evite cambios importantes y elimine riesgos.
- Gestión de entorno seguro: Asegúrese de que sus entornos de desarrollo, pruebas y producción sean coherentes y reproducibles.
- Gobernanza y gestión de políticas: Mantenga un catálogo de código abierto seleccionado sin ralentizar los tiempos de desarrollo.
- Cumplimiento normativo: Cumpla automáticamente con las regulaciones gubernamentales y acelere las revisiones de seguridad.
- Más allá del apoyo al final de la vida: Manténgase estable y seguro incluso después de que los sistemas lleguen al final de su vida útil
Si su equipo necesita soporte para cualquiera de estos casos de uso, nuestra nueva plataforma puede ayudar. Explore hoy la plataforma ActiveState actualizada con una prueba de Platform Enterprise.
Nota: Pete Garcin, director senior de producto de ActiveState, le presenta este interesante artículo, que comparte su experiencia y perspectiva única sobre los desafíos y soluciones en evolución en la gestión de código abierto.