
Fundación Linux Una de las exhibiciones físicas y virtuales más grandes tuvo lugar esta semana en Open Source Summit North America 2022 en Austin, Texas.
El evento es escenario de algunos de los anuncios más importantes y temas de vanguardia relacionados con el código abierto en la actualidad.
LF promueve la cumbre como un paraguas para los proyectos y tecnologías de código abierto que sustentan el software y otras industrias. Destaca aquellos que están listos para el crecimiento y el uso generalizado.
«El evento proporciona el entorno colaborativo y el intercambio de conocimientos necesarios para impulsar la innovación», dijo Angela Brown, vicepresidenta sénior y directora general de eventos de The Linux Foundation.
La cumbre cubre 14 eventos que incluyen LinuxCon, Embedded Linux Conference, SupplyChainSecurityCon, CloudOpen, OSPOCon, Emerging OS Forum y ContainerCon. El cronograma incluye 300 presentaciones, incluyendo conferencias magistrales, sesiones y tutoriales.
Proporciona una audiencia principal para varios anuncios clave de LF y lanzamientos importantes, incluido el lanzamiento del décimo informe anual de trabajo de código abierto, 500 becas Para capacitación y certificación de Linux Foundation, y nuevos cursos de capacitación sobre «Asegurar su cadena de suministro de software con Sigstore» e «Introducción a DevSecOps para gerentes».
La adición a los cursos existentes apoyará el desarrollo de software seguro, una de las piedras angulares de la Iniciativa de Movilización de Seguridad de Código Abierto lanzada recientemente por la Fundación de Seguridad de Código Abierto (OpenSSF) y sus miembros.
Grandes noticias destacan grandes espectáculos
LF hizo varios anuncios importantes relacionados con la industria del código abierto, la capacitación en Linux, la seguridad del software y la cadena de suministro:
- Proyecto Alpha-Omega actualizado para mejorar la seguridad de la cadena de suministro de software para 10 000 proyectos OSS. Parte de eso incluye financiar el trabajo de seguridad crítico en varias fundaciones de software.
- La formación en desarrollo de software seguro ya está disponible para los sistemas de gestión del aprendizaje de las organizaciones.
- Lanzó un nuevo podcast llamado «Historias de código abierto no contadas», que presenta un episodio con el gerente general de OpenSSF, Brian Behlendorf.
- Publicación del Informe sobre el estado de la seguridad de código abierto, un estudio realizado por Snyk y la Fundación Linux para abordar los desafíos de ciberseguridad en el software de código abierto.
LF también publicó su décimo informe anual de empleos de fuente abierta el miércoles, que examina las tendencias en la contratación, retención y capacitación de fuente abierta. El informe exacerba el déficit de contratación en los últimos años, ya que las carreras tecnológicas ahora son más lucrativas a medida que el software de código abierto se vuelve dominante y persisten las brechas de talento.
La seguridad de OSS informa problemas graves
Las organizaciones carecen de un alto nivel de confianza en la seguridad del software de código abierto, según el informe de Snyk y LF. Los equipos modernos de desarrollo de aplicaciones aprovechan el código de todo tipo de lugares.
Reutilizan código de otras aplicaciones que construyen y buscan repositorios de código para componentes de código abierto que brindan la funcionalidad que necesitan. El informe advierte que el uso de código abierto requiere una nueva forma de pensar sobre la seguridad de los desarrolladores que muchas organizaciones aún no han adoptado.
Menos de la mitad (49%) de las organizaciones tienen políticas de seguridad desarrolladas o utilizadas para OSS. Para las empresas medianas y grandes, la cifra es solo del 27%. De las organizaciones sin una política de seguridad de código abierto, solo tres de cada 10 admiten abiertamente que nadie en su equipo aborda directamente la seguridad de código abierto.
Una vez que se conecta un componente de código abierto, los desarrolladores confían en ese componente y están en riesgo si ese componente contiene vulnerabilidades. El informe muestra que este riesgo se ve agravado por dependencias indirectas o transitivas, es decir, dependencias de dependencias de complementos. Estos representan el 40% de todas las vulnerabilidades en las dependencias transitivas.
El tiempo para corregir una vulnerabilidad se duplicó con creces, de 49 días en 2018 a 110 días el año pasado. A medida que aumenta la complejidad del desarrollo de aplicaciones, también lo hacen los desafíos de seguridad que enfrentan los equipos de desarrollo. El informe encontró que lleva más tiempo corregir vulnerabilidades en proyectos de código abierto que en proyectos propietarios.
Financiamiento necesario para cubrir puestos de Linux
A medida que la adopción de la nube y la transformación digital continúan en todas las industrias, la demanda de talento de código abierto es fuerte.
A medida que la pandemia de Covid retrocede, tanto la retención como el reclutamiento se han vuelto más difíciles que nunca, con el 73% de los profesionales diciendo que es fácil encontrar nuevos roles, mientras que el 93% de los empleadores tienen dificultades para encontrar suficiente talento calificado.
El flujo de puestos de trabajo se está acelerando. La mayoría de los profesionales de código abierto (63 %) dicen que sus trabajos no han cambiado en el último año. Si bien un tercio dijo que había dejado o cambiado de trabajo, ejerce una presión adicional sobre los empleadores que intentan retener al personal con las habilidades necesarias.
Muchas organizaciones adoptan acuerdos de trabajo flexibles o remotos permanentes, lo que hace que sea más costoso reclutar talento a medida que los incentivos financieros se convierten en un diferenciador aún mayor. Alrededor del 47% de los empleadores aumentan los salarios de los profesionales de código abierto más que otros trabajos.
«Durante el último año, todas las empresas han luchado para reclutar y retener talento, y la industria de código abierto no es una excepción», señaló Jim Zemlin, director ejecutivo de Linux Foundation, al anunciar el informe de empleos.
También ofrece consejos para que la contratación sea más exitosa. Por ejemplo, las organizaciones no solo necesitan diferenciarse para atraer talento, sino que también deben encontrar formas de cerrar la brecha de habilidades mediante el desarrollo de talento nuevo y existente.
El informe advierte que la brecha de habilidades empeorará antes de mejorar. Casi la mitad (46%) de los empleadores planean aumentar su contratación de código abierto en los próximos seis meses.
El salario es ahora un diferenciador más grande para dos tercios de los profesionales de código abierto, quienes dicen que un salario más alto los disuadiría de irse. Los horarios flexibles y el trabajo remoto son los nuevos estándares de la industria.
Ya se publica el décimo informe anual de trabajo de código abierto disponible para descarga Gratis, sin formulario para llenar.
Planifique cambios importantes en los datos de la nube, la infraestructura
LF anunció el martes un nuevo proyecto de Infraestructura programable abierta (OPI) destinado a fomentar un ecosistema abierto, impulsado por la comunidad y basado en estándares para arquitecturas y marcos de próxima generación. La nueva tecnología se basa en unidades de procesamiento de datos e infraestructura (DPU e IPU).
OPI tiene como objetivo facilitar la simplificación de las API de redes, almacenamiento y seguridad en las aplicaciones para habilitar más aplicaciones portátiles en la nube y el centro de datos a través de DevOps, SecOps y NetOps.
Cuando surgen nuevas tecnologías, abren muchas oportunidades para la innovación técnica y empresarial. Pero las barreras a menudo incluyen la falta de estándares abiertos y una comunidad próspera que los respalde, observa Mike Dolan, vicepresidente senior de programas de Linux Foundation.
«Las DPU y las IPU son excelentes ejemplos de algunas de las tecnologías más prometedoras que surgen en la nube y los centros de datos en la actualidad, y OPI está lista para acelerar la adopción y la oportunidad al respaldar un ecosistema de tecnologías DPU e IPU», dijo Dolan en el anuncio. DPU e IPU constituyen la tendencia creciente de funciones de red de alta velocidad y procesamiento de paquetes compatibles con 5G, AI/ML, Web3, cifrado, etc Su flexibilidad ayuda a administrar los recursos en los dominios de red, cómputo y almacenamiento, en lugar de servidores como unidades de infraestructura en la nube, el perímetro o el centro de datos.
Los operadores ahora pueden crear grupos desagregados de recursos de red, cómputo y almacenamiento respaldados por DPU, IPU y CPU para satisfacer las necesidades de escalado y las cargas de trabajo de las aplicaciones de los clientes.
Los miembros fundadores de OPI incluyen Dell Technologies, F5Intel, Keysight Technologies, Marvell, Nvidia y Red Hat, y una lista creciente de colaboradores que representan una amplia gama de empresas líderes en sus campos, desde fabricantes de dispositivos y silicio, ISV, socios de prueba y medición, OEM, hasta usuarios finales.
Programa de movilización de seguridad de OSS costoso
En una reunión en la Casa Blanca en enero de 2022, las discusiones entre el sector privado, los expertos del gobierno de EE. UU. y la Fundación OSS dieron como resultado un consenso sobre tres objetivos generales:
- Proteja la producción de OSS evitando fallas de seguridad y vulnerabilidades de código;
- Mejorar el proceso de descubrimiento y remediación de vulnerabilidades para encontrarlas;
- Reduzca el tiempo de parcheo del ecosistema para distribuir arreglos.
Los funcionarios de LF publicaron un libro blanco que propone una combinación integral de 10 iniciativas para comenzar a abordar los tres objetivos fundamentales de fortalecer la cadena de suministro de software.
El programa aborda las vulnerabilidades y debilidades en el software ampliamente implementado que representa una amenaza sistémica para la seguridad y la estabilidad de la sociedad moderna, ya que los servicios gubernamentales, los proveedores de infraestructura, las organizaciones sin fines de lucro y la gran mayoría de las empresas privadas dependen del software para funcionar.
Alrededor del 70% al 90% de la pila de software consiste en software de código abierto. Juntos, presentan el riesgo de exponer vulnerabilidades y desencadenar la misma interrupción y corrupción que cualquier cadena de suministro física, según el informe. Esto requerirá una inversión financiera para transformar la seguridad de un ejercicio principalmente reactivo a un enfoque proactivo.
Un pequeño grupo de expertos en dominios de la comunidad OpenSSF redactó un flujo de objetivos del Objetivo 10.este Informe Estimaciones de costos del proyecto para los dos primeros años de implementación de la tecnología.
Fuente: Iniciativa de movilización de seguridad de software de código abierto
Las etiquetas de precios oscilan entre $ 2 millones y $ 42 millones durante los primeros dos años para tratar de arreglar la cadena de suministro de software a través de 10 flujos propuestos.