Sobre el fallo de seguridad de Log4j y el uso de tecnologías de código abierto por parte de Caldera

Sobre el fallo de seguridad de Log4j y el uso de tecnologías de código abierto por parte de Caldera

21 de diciembre de 2021

El 9 de diciembre de 2021, se informó de una vulnerabilidad para los sistemas que ejecutan Apache Log4j versión 2.14.1 o inferior: la CVE-2021-44228, denominada "Log4Shell". Queremos asegurar a todos nuestros clientes y socios que las soluciones de Caldera no utilizan Log4j, ni en nuestros códigos ni en ningún código de terceros, por lo que no estamos afectados por esta vulnerabilidad. Sin embargo, queríamos aprovechar la oportunidad para hablar del uso de tecnologías de código abierto en nuestras soluciones, y de cómo trabajamos para mejorar la seguridad de nuestros usuarios.

¿Qué es un software de código abierto?  

El modelo de código abierto es un modelo descentralizado de desarrollo de software que fomenta la colaboración abierta, para favorecer la innovación y la mejora. El código abierto significa que el código original no está codificado de ninguna forma y que cualquier usuario puede modificarlo según sus necesidades. El código abierto tiene muchas ventajas, como el menor coste del software, la abundancia de Soporte de la comunidad, la posibilidad de ampliar y consolidar, y muchas más.  

Sin embargo, es importante tener en cuenta que el software de código abierto no es necesariamente de uso gratuito ni compatible con todos los sistemas operativos. La definición de software de código abierto es "libre" en el sentido de dar libertad a quienes lo utilizan.  

Las tecnologías de código abierto son utilizadas por una gran comunidad que contribuye a mejorarlas con el tiempo, razón por la cual la mayoría de las vulnerabilidades se detectan y corrigen rápidamente, por el bien de la mayoría. Por ejemplo, la mencionada Apache Log4j es una biblioteca de registro de código abierto utilizada en millones de proyectos Java, incluido un porcentaje considerable de aplicaciones empresariales y servicios en la nube. 

En resumen, el código abierto se rige por un espíritu de colaboración, y las empresas que se benefician de las tecnologías de código abierto también deben retribuir a la comunidad.  

Caldera y el uso de tecnologías de código abierto  

Caldera no depende del lenguaje Java, por lo que no estamos afectados por el fallo de seguridad de Log4Shell. Sin embargo, confiamos en otras tecnologías de código abierto para ofrecer la mejor experiencia posible a nuestros usuarios y contribuir a la comunidad de código abierto.  

Arnaud Fabre, Product Manager de Caldera, afirma : "Utilizar programas de calidad que ya han sido desarrollados, probados y respaldados por la comunidad o por terceras empresas nos permite centrarnos en innovar y añadir valor a nuestros sistemas. Por ejemplo, confiamos en el motor Ghostscript PDF /PS de Artifex , que es una forma de pagar a desarrolladores dedicados que trabajan en un proyecto de código abierto. 

Y continúa: "Dentro del equipo de Caldera , tenemos varios expertos en Linux y en código abierto que contribuyen regularmente a la comunidad en línea. Les animamos activamente a firmar contratos con universidades locales para formar a los desarrolladores y colaboradores de código abierto del mañana. Además, al desarrollar software para Linux, incidimos en nuestra comunidad para que utilicen ellos mismos tecnologías de código abierto. Por último, invertimos en varias tecnologías de código abierto, como GitLab, para mejorar nuestros procesos internos en Caldera."   

¿Cómo funciona Caldera para mejorar su seguridad?  

Caldera se compromete a proporcionar productos y servicios que satisfagan sus necesidades de producción, tanto en términos de eficacia como de requisitos de seguridad.  

Algunos ejemplos de elementos de seguridad:  

Además, nuestro plan Soporte y de mantenimiento CalderaCare ayuda a nuestros usuarios a mantenerse al día de todas las actualizaciones y mejoras más recientes, para que pueda producir con tranquilidad. Más información sobre CalderaCare.