La Fundación Linux recibe financiación para mejorar la seguridad del código abierto

Anthropic, AWS, GitHub, Google, Microsoft y OpenAI, han comprometido financiación para mejorar la seguridad del código abierto. Los fondos serán gestionados por Alpha-Omega y la Open Source Security Foundation, y se destinarán a ayudar a los responsables del mantenimiento a gestionar el creciente volumen de informes de vulnerabilidades generados por la inteligencia artificial.

La importancia de los desarrollos abiertos y colaborativos que conocemos como Open Source es innegable. Es uno de los movimientos más importantes de la tecnología mundial y ya ha mostrado su valor en múltiples proyectos, ofreciendo modelos de negocio que aceleran el desarrollo de industrias enteras y crean estándares de facto. Y será clave para una industria tecnológica que apuesta por la IA.

La cuestión que se intenta abordar es que los sistemas de IA están aumentando la rapidez con la que se descubren vulnerabilidades en los proyectos de código abierto, pero las personas responsables de solucionar esos problemas tienen dificultades para mantenerse al día. Muchos de estos hallazgos se generan automáticamente, creando largas colas de informes que requieren revisión, priorización y corrección. Sin mejores herramientas y soporte, esta carga de trabajo puede volverse rápidamente inmanejable.

La seguridad del código abierto

La nueva financiación se destinará a mejorar la forma en que los responsables del mantenimiento procesan y actúan en función de estos hallazgos, con especial énfasis en herramientas y flujos de trabajo que se integren en los proyectos existentes. Alpha-Omega y OpenSSF colaborarán directamente con los responsables del mantenimiento para que las nuevas funcionalidades de seguridad sean útiles en el desarrollo diario.

El cofundador de Alpha-Omega, Michael Winser, ha declarado que la organización «se creó con la idea de que la seguridad del código abierto debería ser algo normal y alcanzable. Al financiar auditorías e integrar a expertos en seguridad directamente en el ecosistema, hemos demostrado que la inversión específica funciona. Nos entusiasma brindar asistencia de seguridad mediante IA centrada en el mantenedor a los cientos de miles de proyectos que impulsan nuestro mundo».

La magnitud del problema ya se hace evidente en los grandes proyectos. Greg Kroah-Hartman, del proyecto del kernel de Linux, aclaró que la financiación mediante subvenciones por sí sola no resolverá el problema que las herramientas de IA están causando actualmente en los equipos de seguridad de código abierto. «OpenSSF cuenta con los recursos necesarios para apoyar numerosos proyectos que ayudarán a estos responsables de mantenimiento, sobrecargados de trabajo, con la clasificación y el procesamiento del creciente número de informes de seguridad generados por IA que reciben actualmente».

Estos comentarios reflejan un problema creciente en el desarrollo de software de código abierto. Muchos proyectos ampliamente utilizados dependen de pequeños equipos o colaboradores individuales, incluso cuando dan soporte a componentes críticos de la infraestructura global de software. A medida que las herramientas de IA incrementan el número de vulnerabilidades reportadas, resulta cada vez más difícil controlar la brecha entre su detección y su resolución.

De ahí la importancia de financiación adicional para mejorar la seguridad del código abierto. Además, las empresas que respaldan la financiación también participan en la creación y el despliegue de sistemas de IA que mejoran la detección de vulnerabilidades, lo que demuestra cómo la misma tecnología puede aumentar tanto el riesgo como la capacidad de defensa, dependiendo de cómo se aplique.

Es lo mismo que está pasando en el apartado general de la IA y la Ciberseguridad. A medida que las herramientas de IA generativa se han vuelto más potentes, asequibles y accesibles, los ciberdelincuentes las adoptan cada vez más para respaldar todo tipo de ataques.