Canonical, la compañía detrás del popular sistema operativo Ubuntu, ha anunciado la creación del programa Ubuntu Security Research Alliance Program, una iniciativa diseñada para fortalecer la seguridad del software de código abierto. Este programa, que está abierto a la colaboración con organizaciones dedicadas al escaneo de vulnerabilidades, busca hacer que los datos sobre vulnerabilidades sean más transparentes, estandarizados y accionables, beneficiando directamente a los usuarios de Ubuntu.
Una alianza para mejorar la seguridad en el código abierto
El nuevo programa tiene como objetivo proporcionar a las organizaciones que operan herramientas de escaneo de vulnerabilidades acceso directo a información precisa sobre vulnerabilidades y soluciones disponibles en los paquetes de Ubuntu. Esto permitirá a los operadores de escáneres reducir falsos positivos y ofrecer recomendaciones más útiles y específicas para abordar las vulnerabilidades detectadas.
Lech Sandecki, gerente de producto en Canonical, explicó la importancia de esta colaboración: «Ubuntu no es solo un sistema operativo, es una puerta de entrada al consumo del código abierto. Esta alianza hará que ese camino sea más confiable, gracias a resultados de escaneo más precisos, transparentes y accionables”.
Beneficios para los usuarios y proveedores de seguridad
El programa beneficiará a los clientes conjuntos de Ubuntu y de productos de escaneo de vulnerabilidades al garantizar que las herramientas de seguridad proporcionen informes precisos y accionables. Esto incluye:
- Reducción de falsos positivos: Un desafío recurrente en los escáneres de vulnerabilidades es la detección de problemas que no son realmente relevantes. Con esta alianza, las herramientas podrán ofrecer datos más refinados y útiles.
- Acceso temprano a novedades: Los miembros del programa tendrán acceso anticipado a los planes futuros de Ubuntu, lo que les permitirá prepararse para cambios en herramientas y procesos.
- Colaboración en gestión de vulnerabilidades: Las organizaciones podrán colaborar directamente con Canonical para mejorar las recomendaciones de remediación basadas en CVE (Common Vulnerabilities and Exposures).
Un esfuerzo continuo por la seguridad en código abierto
Este programa forma parte del compromiso de Canonical por mejorar la seguridad del software de código abierto. Recientemente, la compañía también anunció su colaboración con el grupo de trabajo de divulgación de vulnerabilidades de OpenSSF, lo que permitió que sus avisos de seguridad de Ubuntu (USNs) se publicaran en el formato OSV, facilitando la identificación de vulnerabilidades en dependencias de terceros.
Ray Carney, director de investigación en Tenable, destacó la importancia de este tipo de colaboraciones: «Los programas de alianza de investigación facilitan el intercambio de información entre equipos de seguridad y administradores de sistemas, reduciendo la ventana de oportunidad para que los atacantes exploten vulnerabilidades recién descubiertas”.
Hacia un ecosistema de código abierto más seguro
Canonical ha invitado a todas las organizaciones interesadas en la investigación de seguridad y desarrollo de herramientas de escaneo de vulnerabilidades a unirse al programa. La colaboración con empresas como Black Duck y Tenable ya ha mostrado resultados positivos, proporcionando a los usuarios visibilidad, control y precisión en la gestión de sus componentes de código abierto.
Con iniciativas como la Ubuntu Security Research Alliance, Canonical reafirma su posición como líder en el fortalecimiento de la seguridad del software de código abierto, garantizando que tanto empresas como usuarios individuales puedan confiar en una infraestructura digital más segura y confiable.
