Para apoyar el periodismo de ., considere convertirse en suscriptor.
Para algo tan importante, cabría esperar que las empresas de tecnología y los gobiernos más grandes del mundo hubieran contratado a cientos de expertos altamente remunerados para reparar rápidamente la falla.
La verdad es diferente: Log4J, que ha sido durante mucho tiempo una pieza fundamental de la infraestructura central de Internet, se fundó como un proyecto voluntario y todavía se administra en gran parte de forma gratuita, a pesar de que muchas empresas de millones y miles de millones de dólares confían en él y se benefician de él. Todos los días. Yazici y su equipo están tratando de arreglarlo por casi nada.
Esta extraña situación es rutinaria en el mundo del software de código abierto, programas que permiten a cualquiera inspeccionar, modificar y utilizar su código. Es una idea de décadas que se ha vuelto fundamental para el funcionamiento de Internet. Cuando funciona bien, el código abierto es un triunfo colaborativo. Cuando sale mal, es un peligro de gran alcance.
“El código abierto administra Internet y, por extensión, la economía”, dice Filippo Valsorda, un desarrollador que trabaja en proyectos de código abierto en Google. Y, sin embargo, explica, “es extremadamente común incluso que los proyectos de infraestructura central tengan un pequeño equipo de mantenedores, o incluso un solo mantenedor que no recibe pago por trabajar en ese proyecto”.
Sin reconocimiento
“El equipo está trabajando todo el día”, me dijo Yazici por correo electrónico cuando lo contacté por primera vez. “Y mi turno de 6 a. M. A 4 a. M. (No, no hay errores tipográficos en la hora) acaba de terminar”.
En medio de sus largos días, Yazici se tomó el tiempo para señalar con el dedo a los críticos, tuitear que “los mantenedores de Log4j han estado trabajando sin dormir en las medidas de mitigación; arreglos, documentos, CVE, respuestas a consultas, etc. Sin embargo, nada impide que la gente nos golpee, por el trabajo por el que no nos pagan, por una función que a todos no nos gusta pero que necesitamos conservar debido a problemas de compatibilidad con versiones anteriores “.
Antes de que la vulnerabilidad Log4J convirtiera este software oscuro pero omnipresente en los titulares de noticias, el líder del proyecto Ralph Goers tenía un total de tres patrocinadores menores que respaldaban su trabajo. Goers, que trabaja en Log4J además de un trabajo de tiempo completo, está a cargo de corregir el código defectuoso y extinguir el incendio que está causando millones de dólares en daños. Es una carga de trabajo enorme para una actividad en el tiempo libre.
La falta de financiación del software de código abierto es “un riesgo sistémico para los Estados Unidos, la infraestructura crítica, la banca y las finanzas”, dice Chris Wysopal, director de tecnología de la firma de seguridad Veracode. “El ecosistema de código abierto es importante para la infraestructura crítica con Linux, Windows y los protocolos fundamentales de Internet. Estos son los principales riesgos sistémicos para Internet “.