Martin Callinan es el fundador y director de Source Code Control, una empresa de consultoría de código abierto y transformación en la nube con sede en el Reino Unido.

Es un experto en código abierto con más de 20 años de experiencia ayudando a las empresas a gestionar los riesgos asociados a las cadenas de suministro de software de código abierto, como los procesos de cumplimiento de la propiedad intelectual, la gestión de la vulnerabilidad de la seguridad y las adquisiciones.

Callinan es uno de los ponentes de la Código ético que tendrá lugar en el Trinity College de Dublín el 1 de julio. El evento analizará cómo la tecnología de código abierto y su comunidad pueden proporcionar código para todos, introducir cambios en los entornos sociales y los posibles beneficios para las organizaciones tanto comerciales como sin ánimo de lucro.

Un área en particular en la que el código abierto debería desempeñar un papel fundamental es la de los servicios públicos, como la sanidad y la administración local y central».
– MARTIN CALLINAN

¿Cuáles son los mayores beneficios que el software de código abierto puede aportar a las empresas?

Todo el software que se desarrolle hoy en día incluirá componentes y bibliotecas de software de código abierto. El beneficio fundamental es que los desarrolladores comparten el código que aborda los desafíos técnicos, lo que permite evitar tener que desarrollar una funcionalidad común desde cero, haciendo que los proyectos de desarrollo de software sean más eficientes y reduciendo el tiempo de comercialización.

Un gran ejemplo es el Proyecto de código abierto Android . Android se basa en el Núcleo de Linux . El núcleo del sistema operativo móvil es de código abierto y lo desarrolla una comunidad de organizaciones y desarrolladores individuales. El hecho de que una comunidad contribuya al sistema operativo aporta economías de escala. También permite que los desarrolladores colaboren y compartan las mejores prácticas e ideas para desarrollar habilidades y ayudar al avance de la industria del software.

Muchas industrias tradicionales, como la del automóvil, han evolucionado hasta convertirse en empresas de software. Tesla es un gran ejemplo de empresa automovilística que da prioridad al software, en la que los coches incluyen servicios conectados por software construidos con tecnología de código abierto.

Otro ámbito en el que el código abierto está resultando muy beneficioso es el de los servicios en la nube. Muchas organizaciones están trasladando tanto la infraestructura como las aplicaciones a la nube. Las aplicaciones locales heredadas se están modernizando, y la arquitectura y el desarrollo necesarios son posibles gracias al software de código abierto.

¿Cómo ha evolucionado el software de código abierto en los últimos años?

El mayor cambio que hemos visto es la aceptación del código abierto y su preparación para las empresas. Muchos de los grandes proveedores de software que históricamente han visto el código abierto como una amenaza, ahora han adoptado el código abierto y están aportando código que puede ser aprovechado por los desarrolladores de software.

Un gran ejemplo sería Microsoft, cuyos desarrolladores son ahora uno de los mayores contribuyentes al código abierto en el sitio de intercambio de código GitHub. Este cambio también ha hecho evolucionar las normas y prácticas de codificación, elevando el nivel de calidad del código abierto disponible.

Were there any landmark moments that drew attention to open-source software?

El mayor hito relacionado con el código abierto es, con mucho, el éxito del núcleo de Linux y las soluciones de software e industrias que se han beneficiado del código abierto.

La Internet de la que todos nos beneficiamos hoy en día funciona con Linux. Del mismo modo, los dispositivos móviles y los coches se basan en Linux y otras tecnologías de código abierto. Las organizaciones no están atrapadas en las estrategias y restricciones de cada proveedor y son libres de controlar su propio destino.

¿Qué sectores pueden beneficiarse más del software de código abierto?

Todos los sectores pueden beneficiarse, y de hecho lo hacen, del software de código abierto. Un área en particular en la que el código abierto debería desempeñar un papel fundamental es la de los servicios públicos, como la sanidad y la administración local y central. Las organizaciones del sector público prestan en todo el mundo servicios comunes a los ciudadanos financiados con dinero público.

La posibilidad de compartir el código de las soluciones, que pueden modificarse y evolucionar sin necesidad de estar atados a los proveedores de software, permite una gran eficiencia y economías de escala. En el sector sanitario, los médicos se están implicando en el desarrollo de soluciones de software para la salud, trabajando junto a los desarrolladores de software para crear las soluciones que necesitan para prestar servicios sanitarios eficientes.

Usted está muy involucrado en la gestión de riesgos en este campo. ¿Cuáles son los mayores riesgos asociados al código abierto y cómo pueden mitigarlos las empresas?

Está muy extendida la idea de que el software de código abierto se puede utilizar libremente sin ninguna obligación ni coste. Esto es inexacto. El término «libre» relacionado con el código abierto está relacionado con las libertades, la libertad de uso, de ver el código fuente, de modificar el código fuente y de distribuir.

Sin embargo, existen licencias de código abierto que regulan los derechos de uso del mismo. Una obligación básica es que si se utiliza el código bajo una licencia de código abierto, se debe atribuir al titular de los derechos de autor. Algunas licencias tienen la obligación de que si usas el código en una solución en desarrollo, los usuarios de la misma deben tener acceso a la fuente.

Estas obligaciones pueden crear un riesgo legal de PI para las organizaciones y entrar en conflicto con los modelos comerciales. Por ejemplo, si un proveedor de software tiene valor de PI en el software que está desarrollando, el control del acceso al código fuente sería un imperativo comercial. Ha habido una serie de casos en los que las empresas se han visto obligadas a revelar su código fuente debido al uso de bibliotecas de código abierto bajo una licencia que obliga a revelar el código fuente.

Otro riesgo es la seguridad del software. La mayoría de los desarrolladores están presionados para entregar el código. Aprovechar los componentes de código abierto de sitios como GitHub y NPM ayuda mucho a acelerar el desarrollo de software. Sin embargo, algunos componentes pueden tener vulnerabilidades de seguridad conocidas que podrían terminar en una solución que luego podría ser explotada por malos actores.

En los últimos años, se han producido ataques a la cadena de suministro en los que se inyecta código malicioso en sitios de intercambio de código, que entra en la cadena de suministro de software y se explota posteriormente. Debido a estos riesgos, la industria se ha unido para proporcionar estándares y mejores prácticas para guiar a los desarrolladores en la construcción de soluciones en las que el cliente pueda confiar.

En 2016, la Fundación Linux fundó la Proyecto OpenChain . Se trata de un proyecto comunitario para fomentar la confianza en la cadena de suministro de software. Organizaciones como Microsoft, Siemens, Bosch y Google, por nombrar algunas, han colaborado para producir una mejor práctica que puede ser adoptada por las empresas de software para mitigar los riesgos discutidos. En 2020, esto se convirtió en un norma internacional .

En Estados Unidos, la Casa Blanca emitió un orden ejecutiva sobre la mejora de la ciberseguridad de la nación, que incluye un requisito para rastrear y gestionar el uso de componentes de código abierto y proporcionar a los usuarios del gobierno una lista de materiales de software, que es análoga a una lista de ingredientes en los envases de alimentos.

And what about the ethical side of open source?

Un área de la ética que es un tema candente es la falta de contribución a los proyectos de código abierto y también la falta de financiación. Ha habido una serie de vulnerabilidades de seguridad de alto perfil relacionadas con proyectos de código abierto, por ejemplo Log4J que han sacado a la luz este asunto.

Log4J es una pieza de código relativamente discreta que se utiliza ampliamente. La vulnerabilidad descubierta es altamente explotable y muchas grandes empresas la utilizan y dependen de ella. El mantenedor que corrigió el fallo de Log4J contribuyó al proyecto a tiempo parcial y solo tenía tres patrocinadores de GitHub (una forma de pagar a los voluntarios del proyecto).

También hemos visto un aumento de lo que se conoce como licencias éticas. Una desarrolladora llamada Coraline Ada Ehmke ha creado el Licencia hipocrática que añade ética a los proyectos de código abierto.

En realidad, la cuestión es que los datos del software de código abierto no son gratuitos: hay que tener en cuenta las obligaciones y la ética a la hora de adoptarlos y utilizarlos.

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.