El 9 de diciembre de 2021, se informó de una vulnerabilidad para los sistemas que ejecutan Apache Log4j versión 2.14.1 o inferior: la CVE-2021-44228, denominada "Log4Shell". Deseamos asegurar a todos nuestros clientes y socios que Caldera no utilizamos Log4jni en nuestros códigos ni en los de terceros, por lo que no estamos afectados por esta vulnerabilidad.
Sin embargo, queríamos aprovechar la oportunidad para hablar del uso de tecnologías de código abierto en nuestras soluciones, y de cómo trabajamos para mejorar la seguridad de nuestros usuarios.
¿Qué es un software de código abierto?
El modelo de código abierto es un modelo descentralizado de desarrollo de software que fomenta colaboración abierta, para fomentar la innovación y la mejora.
El código abierto significa que el código original no está codificado de ninguna forma y que cualquier usuario puede modificarlo según sus necesidades. El código abierto tiene muchas ventajas, como el menor coste del software, la abundancia de Soporte por parte de la comunidad, la posibilidad de escalar y consolidar- y muchos más.
Sin embargo, es importante tener en cuenta que el software de código abierto no es necesariamente de uso gratuito ni compatible con todos los sistemas operativos. La definición de software de código abierto es "libre" en el sentido de dar libertad a quienes lo utilizan.
Las tecnologías de código abierto son utilizadas por una gran comunidad que contribuye a mejorarlas con el tiempo, razón por la cual la mayoría de las vulnerabilidades se detectan y corrigen rápidamente, por el bien de la mayoría. Por ejemplo, la mencionada Apache Log4j es una biblioteca de registro de código abierto utilizada en millones de proyectos Java, incluido un porcentaje considerable de aplicaciones empresariales y servicios en la nube.
En resumen, el código abierto se rige por un espíritu de colaboración, y las empresas que se benefician de las tecnologías de código abierto también deben retribuir a la comunidad.
Caldera y el uso de tecnologías de código abierto
Caldera no depende del lenguaje Java, por lo que no nos vemos afectados por el fallo de seguridad de Log4Shell. Sin embargo, confiamos en otras tecnologías de código abierto para ofrecer la mejor experiencia posible a nuestros usuarios y contribuir a la comunidad de código abierto.
Arnaud Fabre, Jefe de Producto de Caldera, dice "Utilizar programas de calidad ya desarrollados, probados y respaldados por la comunidad o por terceras empresas nos permite centrarnos en innovar y añadir valor a nuestros sistemas. Por ejemplo, confiamos en Artifex's Ghostscript PDF/PS, que es una forma de pagar a los desarrolladores que trabajan en un proyecto de código abierto.
Continúa: "Dentro del equipo de Caldera , contamos con varios expertos en Linux y en código abierto que contribuyen regularmente a la comunidad en línea. Les animamos activamente a que firmen contratos con universidades locales para formar a los desarrolladores y colaboradores de código abierto del mañana. Además, al desarrollar software para Linux, incidimos en nuestra comunidad para que utilicen ellos mismos tecnologías de código abierto. Y por último invertir en varias tecnologías de código abierto como GitLab para mejorar nuestros procesos internos en Caldera."
¿Cómo funciona Caldera para mejorar su seguridad?
Caldera se compromete a proporcionar productos y servicios que satisfagan sus necesidades de producción, tanto en términos de eficacia como de requisitos de seguridad.
Algunos ejemplos de elementos de seguridad:
- Soporte de plataformas fiables (Linux & macOS) para minimizar los riesgos.
- Posibilidad de bloquear el uso para los administradores (usuarios root o sudo).
- Posibilidad de bloquear el uso local (con contraseñas en EasyMedia)
Además, nuestro plan de mantenimiento y Soporte CalderaCare ayuda a nuestros usuarios a estar al día de las últimas actualizaciones y mejoras, para que pueda producir con tranquilidad.
