El software de código abierto ha sido, durante décadas, una pieza fundamental del paisaje tecnológico, a menudo pasando desapercibido frente a las grandes ventas de software propietarias. En los últimos años, cambios en la actitud europea, impulsados por tensiones geopolíticas y la búsqueda de soberanía tecnológica, han acelerado la voluntad de ejecutar software abierto y apoyar a proveedores locales. Su mayor fortaleza es la naturaleza abierta de su desarrollo: cualquiera puede inspeccionarlo, modificarlo y distribuir sus propias versiones sin las limitaciones y costos del vendor lock-in. Este rasgo es tan significativo que se estima que alrededor del 70% de las pilas de software modernas dependen de componentes de código abierto en alguna forma, una especie de “sistema de fontanería” que mantiene unidas estas pilas. Sin embargo, esa misma ventaja puede convertirse en desventaja para clientes corporativos: grupos de voluntarios no comparten las mismas exigencias que grandes corporaciones. Aunque las empresas invierten mucho en ciberseguridad y resiliencia, la visibilidad sobre el software de código abierto puede ser alarmantemente baja.
El contexto actual plantea que la AI está acelerando la necesidad de una financiación adecuada para el software de código abierto. El desarrollo rápido impulsado por herramientas de IA facilita a los desarrolladores escribir código y, al mismo tiempo, a actores maliciosos descubrir vulnerabilidades y crear exploits. Sin el apoyo comercial que reciben los proyectos de gran escala, el OSS queda en una posición más vulnerable. Dado el papel crucial del OSS para que las empresas construyan sus propias pilas, muchas están empezando a ver el respaldo a proyectos como parte integral de la gestión de riesgos.
Para explorar por qué la responsabilidad –o carga– de la sostenibilidad del software de código abierto está pasando cada vez más de los desarrolladores individuales a los clientes empresariales, entrevisté al CTO de EXANTE, Richard Forss. Explicó cómo la IA está cambiando el desarrollo de software y las estrategias de ciberseguridad a nivel mundial, y por qué las empresas deben tratar este tema como una infraestructura crítica. EXANTE es también la empresa detrás del Gecko Fund, un programa de financiación de 1 millón de euros para apoyar proyectos de código abierto críticos utilizados en sistemas de trading y datos financieros, con subvenciones entre 10.000 y 150.000 euros. La firma sostiene que el apoyo financiero y técnico a proyectos de código abierto es ahora más importante que nunca.
“Creemos que la industria que se beneficia de estas herramientas debe ayudar a sostenerlas”, afirmó Anatoly Knyazev, fundador de Gecko Fund.
Cómo se utiliza el código abierto en fintech y brokers
– El código abierto es la base de negocios modernos de fintech y brokerage, pero rara vez se discute. Si miraras bajo el capó de cualquier plataforma de corretaje, incluida la nuestra, verías que alrededor del 70% de la pila crítica es de código abierto.
– Alimenta bases de datos, sistemas operativos, capas de mensajería, infraestructura en la nube: los componentes que mueven millones de transacciones al día. Los clientes no ven nada de ello, y ese es precisamente el objetivo.
– La razón de su uso es economía. La software se construye en capas y no tiene sentido que una empresa reconstruya fundamentos desde cero. Usamos componentes compartidos y probados para cosas como procesamiento de datos de mercado e infraestructura de riesgo, y enfocamos nuestros esfuerzos de ingeniería en las partes que son realmente nuestras.
– Permite a los equipos avanzar rápidamente y resolver rompecabezas arquitectónicos que de otro modo estarían fuera de alcance.
Por qué persiste el problema de subfinanciación en OSS, a pesar de su amplio uso global
– Porque funciona tan bien que no llama la atención. El código abierto funciona como una utilidad, la fontanería de las paredes, y nadie piensa en la fontanería hasta que se rompe. Millones de organizaciones dependen de estas herramientas a diario, y durante años rara vez alguien les paga por mantenerlas.
– En valor económico, el software de código abierto impulsa alrededor de 8,8 billones de dólares en valor económico global, pero casi dos tercios de los desarrolladores responsables de mantener estos sistemas recibieron apoyos financieros muy limitados.
– Cientos de miles de organizaciones –desde startups hasta grandes corporaciones– se benefician de estas herramientas cada día, pero la responsabilidad real de su mantenimiento recae en un puñado de voluntarios.
¿De qué modo deberían las empresas preocuparse si proyectos críticos de OSS están sustentados por equipos muy reducidos o por desarrolladores individuales?
– Porque es un punto único de fallo que se oculta a plena vista. Gastamos enormes recursos evaluando riesgos de proveedores y resiliencia operacional, pero todo el sistema puede descansar en una biblioteca mantenida por una o dos personas exhaustas a las que nunca has oído mencionar.
– Nuestro primer grant de Gecko Fund fue para Kryo, una herramienta de serialización de datos utilizada en entornos de alto rendimiento y trading. Durante años, ha sido mantenida por dos personas en dos continentes, sin financiamiento externo. Hacen un gran trabajo, pero el problema es precisamente esa limitación de personal. Si uno de ellos se quema o no puede dedicar tiempo para corregir una falla crítica de inmediato, las consecuencias no quedan dentro de su proyecto; se extienden a mercados regulados que ni siquiera saben que dependen de ellos.
Cómo está cambiando la IA el perfil de riesgo del OSS y la ciberseguridad
– La IA acelera la carrera: facilita la detección de fallos y agiliza revisiones de código por un lado, y por otro, permite a atacantes identificar vulnerabilidades y lanzar exploits con mayor velocidad.
– Los actores maliciosos emplean herramientas de IA para escanear bases de código abierto, identificar vulnerabilidades y ejecutar ataques mucho más rápido que antes. El margen entre descubrir una falla y desencadenar un ataque activo se acorta constantemente.
– Esto presiona a los mantenedores subfinanciados para desplegar correcciones de forma instantánea. Dado que la IA intensifica las amenazas, la seguridad del ecosistema OSS se ha convertido en una prioridad sistémica.
Partes del ecosistema OSS más vulnerables a la subinversión hoy
– No son los proyectos famosos; suelen ser aquellos menos glamorosos. El riesgo reside en el código profundo y poco visible: bibliotecas de bajo nivel, herramientas para desarrolladores, APIs y herramientas de desarrollo que funcionan fuera de la vista. Componentes que nunca aparecen en las tendencias y que nunca atraerán patrocinios.
– Por eso quedan desfinanciados: no generan titulares, por lo que no captan patrocinio o donaciones, y sin embargo están cableados en miles de productos comerciales.
Cómo puede cerrarse esa brecha y qué medidas pueden tomar las empresas para mitigar riesgos
– Dejar de verlo como un hobby y empezar a tratarlo como infraestructura, porque es lo que es. El primer paso es auditar la cadena de suministro y entender exactamente qué componentes de código abierto se utilizan. Muchos aún no lo han hecho. Una vez que se sepa en qué se apoya la empresa, hay que mantenerlo.
– Pero el dinero no es el único recurso: las firmas pueden aportar tiempo de ingeniería, auditorías de seguridad, entornos de pruebas o documentación. El objetivo es crear una relación mutua: si tu negocio se beneficia de estas herramientas, tu negocio debe ayudar a mantenerlas seguras.
Qué cambios estructurales pueden hacerse para hacer el OSS más sostenible
– El mundo corporativo debe dejar de esperar que esa infraestructura crítica la mantengan personas que trabajan en su tiempo libre. Ese es el cambio. Todo lo demás sigue a partir de ahí.
– Hay indicios de cambio: existen fondos soberanos de tecnología, esfuerzos apoyados por gobiernos y grupos industriales que se forman alrededor de estándares de código abierto. Eso es alentador.
– Pero, de todos los sectores, la industria financiera debe liderar, porque tiene más que perder si este fontanero falla. Si formalizamos la forma en que las empresas contribuyen y construimos estructuras adecuadas para financiar este trabajo, las personas que sostienen la maquinaria detrás del comercio global podrían obtener el respaldo estable que necesitan para que los mercados sigan funcionando. Se lo han ganado varias veces.
Notas sobre Gecko Fund y el departamento de tecnología
– Gecko Fund ha otorgado su primera subvención a Kryo, reconociendo la importancia de mantener herramientas de alto rendimiento utilizadas mundialmente. Este caso ilustra el riesgo de depender de muy pocos mantenedores.
– La idea central es clara: la financiación y la contribución de las empresas deben coexistir con el desarrollo y la seguridad para sostener el ecosistema en el tiempo.
Conclusión
– El código abierto no es solo una ventaja operativa; es una infraestructura crítica para la economía digital global. Su sostenibilidad requiere un cambio de mentalidad: inversiones concretas, gobernanza compartida y un compromiso activo por parte de empresas que se benefician de estas herramientas. Solo así se logrará una base tecnológica resiliente, capaz de sostener el crecimiento y garantizar la integridad de los sistemas financieros y tecnológicos que dependemos a diario.
from Latest from TechRadar https://ift.tt/IYexm0W
via IFTTT IA
Pacosite's Blog 