Hay algunos líderes empresariales y de TI que señalarán los miles de millones que Microsoft está invirtiendo en ChatGPT y cuestionarán si el código abierto tiene la capacidad de hacer cosas similares. Per Ploug, líder de tecnología de código abierto en Spotify, cree que sí. Él dice que una enorme cantidad de innovación y conocimiento se acumula con el tiempo en código abierto. Esto ahora se está mercantilizando.
Como ejemplo, Ploug señala una herramienta generadora de imágenes de código abierto basada en inteligencia artificial (IA). “No es necesario ser un doctorado en aprendizaje automático para comprender esta herramienta, pero representa una enorme cantidad de innovación”, dice. La herramienta combina de manera efectiva el conocimiento de IA de la comunidad de código abierto en un comando simple que cualquier usuario puede ejecutar a través de una pantalla de terminal de Linux.
Sin embargo, los líderes empresariales y de TI también señalarán las fallas de seguridad del código abierto.
Ploug formaba parte de un equipo de seguridad de TI que gestionaba la vulnerabilidad de Log4J. “Creo que es interesante ver cómo estos pobres mantenedores, que dedican su tiempo libre a este proyecto, se vieron abrumados por las empresas de seguridad y las grandes empresas que les gritaban por no manejar esto lo suficientemente rápido”, dice.
Las personas eligen usar su tiempo libre para mantener el código fuente abierto, por pasión, porque les gusta hacerlo. Pero, dice Ploug, “la expectativa de que las personas trabajen por pasión es parte del problema con el código abierto”.
Las grandes empresas que usaban productos afectados por Log4J no tenían idea de dónde se estaba usando. No tenían idea de dónde se había implementado la herramienta de registro de Java vulnerable explotada por Log4J. “Tampoco sabían cómo arreglarlo ellos mismos porque era algo que simplemente sacaron del estante”, dice Ploug.
Él dice que muchas empresas no se tomaron el tiempo para entender cómo funciona realmente, afirmando que “simplemente lo consumieron a ciegas”.
Ploug agrega: “Creo que debemos ser más reflexivos acerca de cómo consumimos estas cosas y realmente entendemos la tecnología”. Al hacerlo, dice, los usuarios empresariales que implementen dicha tecnología de código abierto no solo tendrán una mejor idea de cómo se ven afectados por una vulnerabilidad o un error, sino que también estarán en una mejor posición para solucionar los problemas por sí mismos.
“Cuando consume código fuente abierto, también debe comenzar a capacitar a su personal y comenzar a contribuir con estos proyectos”, agrega.
Todavía no es una práctica común que las empresas apoyen financieramente proyectos de código abierto. A Ploug le gustaría que más empresas que utilicen código abierto ofrezcan apoyo financiero para este tipo de proyectos.
Mirando hacia atrás a los problemas de seguridad de código abierto, Ploug no cree que el concepto de una cadena de suministro de seguridad de software funcione para el código abierto. Dado que no se les paga a los mantenedores del código fuente abierto, no son un proveedor, dice. “No tienes una cadena de suministro”.
Sin embargo, al patrocinar proyectos o desarrollar los conocimientos técnicos necesarios para apoyar directamente a los mantenedores, los usuarios empresariales tienen una manera de reducir el riesgo y proteger aquellas aplicaciones de misión crítica que dependen de componentes de código abierto.