50 años de seguridad de la cadena de suministro de software de código abierto: De Multics al ataque xz
Este artículo explora los desafíos de la seguridad de la cadena de suministro de software de código abierto en las últimas cinco décadas. Desde posibles puertas traseras identificadas en una evaluación de seguridad de Multics de 1974 hasta el ataque de puerta trasera de la biblioteca de compresión xz de 2024, el problema persiste. Russ Cox, desarrollador central del lenguaje de programación Go, utiliza su experiencia personal y ejemplos del sector para discutir las definiciones de ataques y vulnerabilidades de la cadena de suministro de software, la complejidad de las cadenas de suministro de software y métodos para fortalecer las defensas. Esto incluye la autenticación de software, las compilaciones reproducibles, el descubrimiento y la corrección rápidos de vulnerabilidades y estrategias de prevención de vulnerabilidades. El artículo destaca la falta de financiación para el software de código abierto, dejando los proyectos vulnerables a actores maliciosos, ilustrado por el ataque xz. Finalmente, el autor hace un llamamiento para aumentar la financiación y mejorar las prácticas de seguridad en código abierto para abordar las amenazas en evolución.