Hoy, Aikido adquiere Root. 🚀
El software de código abierto está presente en casi todas las aplicaciones del mundo y se ha convertido en el principal punto de entrada para los atacantes. La cadena de suministro de software está en el punto de mira. (algo algo meme de un gato despertándose ante otro ataque a la cadena de suministro)
Los atacantes también son cada vez más rápidos. La inteligencia artificial está abaratando el coste de explotar las vulnerabilidades conocidas antes de que la mayoría de los equipos tengan oportunidad de corregirlas. Casi un tercio de las vulnerabilidades conocidas son explotadas el mismo día en que se dan a conocer, o incluso antes. Mientras tanto, nuestro viejo conocido Log4Shell, descubierto en 2021, sigue funcionando hoy en día en millones de sistemas de producción.
Pero la mayoría de los equipos se ven obligados a elegir entre tres opciones que no funcionan:
- Actualizar y correr el riesgo de interrumpir la producción
- Migrar a un producto de sustitución «cerrado» de un proveedor
- Seguir utilizando software vulnerable
La realidad es que actualizar no es sencillo (¡qué sorpresa!). Una actualización de dependencias puede provocar fallos en el entorno de producción, traer consigo docenas de cambios ajenos al tema, depender de versiones que aún no existen o incluso introducir nuevas vulnerabilidades por sí misma. Incluso cuando todo sale bien, las actualizaciones consumen semanas de trabajo de los ingenieros.
La realidad es que el software de código abierto necesita parches, y los necesita rápidamente.
Root resuelve este reto de la cadena de suministro mediante un enfoque basado en agentes nativos. En lugar de agentes que se limiten a detectar vulnerabilidades, han creado un sistema similar a una fábrica en el que los agentes generan parches CVE precisos para las versiones de los paquetes que los equipos utilizan realmente, a la velocidad de la máquina.
¿El resultado? Cientos de parches CVE verificados que se generan cada día.
Y —atención— que no introducen cambios que afecten a la compatibilidad.
«El sector sigue estancado en la fase de selección prioritaria, revisando una lista interminable de CVE y discutiendo sobre cuáles hay que solucionar primero. O peor aún, diciendo a los equipos que descarten sus imágenes y empiecen de cero con las de otra persona», afirma Ian Riopel, cofundador y director ejecutivo de Root. «Creamos Root para evitar esa discusión y simplemente solucionar el problema sobre la marcha. Se trata de elegir entre los «jardines vallados» y el apoyo real al código abierto. Nosotros hemos elegido el código abierto».
Ahora estamos incorporando esa capacidad al aikido.
Vamos a lanzar Bibliotecas de Aikido y Aikido Images: bibliotecas e imágenes de contenedor que no presentan vulnerabilidades y que sirven como sustitutos directos, y que corrigen el software que los equipos ya están utilizando, sin necesidad de migración y, lo más importante, sin cambios que afecten a la compatibilidad.
Ya están en producción y disponibles para todos los clientes de Aikido (échale un vistazo al catálogo de imágenes aquí ).
Cuando se publique un nuevo CVE, generaremos el parche adecuado para tu sistema, específico para tu versión. Así te mantendremos protegido en todo momento.
Y no, «parches privados para software libre» no es el titular.
Las correcciones críticas para las vulnerabilidades que están siendo explotadas de forma activa seguirán llegando a la comunidad, a través de los ecosistemas, y no quedarán restringidas tras un muro de pago. Si queremos resolver seguridad de la cadena de suministro de software, el ecosistema tiene que ser más seguro, no solo nuestros clientes.
«Los responsables del mantenimiento del software de código abierto están desbordados con el trabajo relacionado con la seguridad mientras intentan mantener en funcionamiento los proyectos de los que depende el mundo», afirma Adrián Estrada, director técnico de NodeSource, miembro del consejo de administración de OpenJS y colaborador principal de Node.js. «Aikido y Root nos están aliviando la carga de trabajo al adaptar las correcciones a versiones anteriores y enviarlas al proyecto principal».
¡Bienvenido a Aikido, Root! ¡Y una calurosa bienvenida a los cofundadores de Root, Ian, John, Benji y Mickey, así como al resto del equipo de Root!
¿Cuál es la misión? Conseguir que los desarrolladores vuelvan a desarrollar.
xo Madeline, Aikido
{{cta}}
