Open Source eta zibersegurtasuna. Pertsonen garrantzia

Zibersegurtasun arloan munduko Konferentzia handienetako batera - RSA konferentziak 36.000 bisitari baino gehiago, 704 hitzaldi eta 658 erakusle ditu-  egindako bisitaren harira, aditua izan gabe, gero eta garrantzitsuagoa den zibersegurtasunaren sektoreak eta Open Sourceak dituzten  harreman estuei buruz, gogoeta batzuk idazten ausartuko naiz. Kontutan izanda beharrezkoa dela, zalantzarik gabe, RSA konferentziaren leloak zioen moduan giza elementua guztiz aintzat hartzea.

Lehenik eta behin, RSA Conference 2020n egiaztatu ahal izan dugu, beste behin ere,  ziberseguritatearen esparruan Open Source soluzioek duten garrantzia, goreneko lekua alegia. Izan ere, dituzten garrantzia ikusirik, aurten RSA Conferencek Open Source-ren tresnen mundua sartu du lehen aldiz berritasun gisa

Sektorean lan egin eta garatzen duten enpresek software librearen erabilera intentsiboa egiten dute. 2016an, Sonatypek kalkulatzen zuen, oro har, software-aplikazio tipiko baten %80-%90 FLOSS osagaia dela. Seguraski zibersegurtasunean portzentaia hori berdindu edo gainditzen da. Azken finean, softwarea garapeneko gaur egungo kateak, zorionez, software libreko osagaiak integratzeko aukera ematen die enpresei, horrela "gurpila asmatu" eta guztia hutsetik garatu behar izan gabe.

Babes-analisi eta Cyberseguridadeko software soluzioetan ere, open sourcea % 80-90 horretan dago gutxienez, gehiago ez bada. Cloud, birtualizazioa, IoT, app-ak, telekomunikazioak, ikaskuntza automatikoa eta adimen artifizialab, zibersegurtasun politikak eta gobernua, kriptografia aplikatua, blockchain, etab., open sourcearen erabilera intentsiboa egiten dute. Bestalde, RSA 2020 Konferentzian parte hartu duten sektoreko enpresa ugarik, hala nola Elastic, Snyk, Red Canary, WhiteSource, ... eta beste askok Open Source tresnak garatzen dituzte.

Are gehiago, zibersegurtasuneko estrategiak eta prozesuek software librearen munduak irekitako eta esperimentatutako bideak jarrai ditzakete. RSA Conference-n errepikatzen zen bezala, segurtasuna prozesu jarraitua da, non enpresa edo erakundea etengabe ikasten eta hobetzen doan, segurtasuna sistemaren propietate bat da eta ez da sistemaren ezaugarri bat, ezta produktu bat ere, baizik eta, adierazi dugun bezala, prozesu jarraitua.

Baina, aldi berean, Harvard Business Review-en artikulu pare batean ("1", "2") jasotzen zen bezala, Laboratory for Innovation Science at Harvard (LISH) eta Linux Foundation 's Core Infrastructure Initiative (CII) delakoen ideiak hartuz, software librea babestu eta indartu egin behar da.

Besteak beste, segurtasunaren ikuspegitik software libreak izan ditzaken ahultasunak ekiditzeko, kontutan izan beharreko kontu nagusiak hauek lirateke: software estandarizatuaren osagaien izendapen-eskema baten faltan, nomenklatura ez-koherentea; software libreko proiektuetan ekarpenak egiten diharduten banakako garatzaileen kontuen segurtasuna; eta azkenik, zenbait kasutan, oinordetzan jasotako eta ondo begiratu gabe aspaldiko kode zaharkitua berrerabiltzea. (Interesgarria zentzu honetan NTIAko  Cybersecurity burua den Allan Friedman-ek azaldu zuen SBOM iniziatiba)

Azken finean, softwarea, berez, gero eta baliabide biziagoa da, eta digitalizazio-prozesuak estrategiko bihurtzen dira industria, erakunde eta enpresa mota guztietan, bai enpresa teknologikoetan, bai enpresa teknologiko "hutsak" ez direnetan.

Joeren azterketa guztiek adierazten dute segurtasunak eta arriskuen kudeaketak gero eta garrantzi handiagoa izango dutela etorkizunari begira. Horregatik, ikuspuntu guztietatik, baina bereziki zibersegurtasunaren ikuspegitik, open source ekosistemaren iraunkortasuna eta egonkortasuna askotan uste dena baino garrantzitsuagoar izan behar du, eta horregatik software librearen sektoreari arreta handiagoa eskaini beharko diogu.