{"id":28525,"date":"2023-03-13T13:38:02","date_gmt":"2023-03-13T11:38:02","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28525"},"modified":"2023-03-13T13:38:02","modified_gmt":"2023-03-13T11:38:02","slug":"open-source-for-business-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/open-source-for-business-risks\/28525\/","title":{"rendered":"Los pros y contras del c\u00f3digo abierto en empresas"},"content":{"rendered":"

Las aplicaciones de c\u00f3digo abierto se han establecido en los sistemas TI de las grandes y medianas empresas. De dominar segmentos como servidores web, bases de datos y anal\u00edticas, las soluciones de c\u00f3digo abierto ahora tambi\u00e9n se utilizan para la contenedorizaci\u00f3n, el aprendizaje autom\u00e1tico, DevOps y, por supuesto, el desarrollo de software. Muchas empresas se est\u00e1n pasando al c\u00f3digo abierto para tareas que no son del sector TI, como el CRM, la producci\u00f3n de contenido visual y la publicaci\u00f3n de blogs. De acuerdo con Gartner<\/a>, m\u00e1s del 95 % de las empresas TI utilizan soluciones de c\u00f3digo abierto, pero incluso entre las empresas que no se incluyen dentro de este sector la cifra supera el 40 %<\/a> y no deja de aumentar. Por si fuera poco, esta cifra no incluye los muchos casos en los que se utilizan bibliotecas de c\u00f3digo abierto dentro de aplicaciones.<\/p>\n

Elegir entre c\u00f3digo abierto y cerrado no es nada f\u00e1cil: no es solo un dilema entre pago o gratuito, con o sin soporte. A la hora de decidir sobre cualquier soluci\u00f3n TI, las empresas deben tener en cuenta una serie de aspectos importantes.<\/p>\n

El coste y cronograma de implementaci\u00f3n<\/strong><\/h2>\n

Aunque las soluciones de c\u00f3digo abierto no suelen tener coste, implementarlas no sale gratis. Dependiendo de la complejidad de la soluci\u00f3n, puede que debas gestionar las horas de dedicaci\u00f3n del equipo TI, traer consultores expertos o incluso contratar desarrolladores que adapten constantemente la aplicaci\u00f3n a las necesidades de tu empresa.<\/p>\n

Tambi\u00e9n existe el modelo de licencia h\u00edbrida, que te permite usar una edici\u00f3n comunitaria de la aplicaci\u00f3n de forma gratuita, pero la versi\u00f3n extendida con funciones \u201cempresariales\u201d requiere una licencia de pago.<\/p>\n

Adem\u00e1s, muchos productos de c\u00f3digo abierto no cuentan con documentaci\u00f3n completa y\/o actualizada o cursos de formaci\u00f3n para usuarios finales. En grandes implementaciones, es posible que haya que cubrir este vac\u00edo internamente, lo que cuesta tiempo y dinero.<\/p>\n

La ventaja del c\u00f3digo abierto en la fase de implementaci\u00f3n es, por supuesto, que permite realizar pruebas completas. Aunque planees implementar una soluci\u00f3n de c\u00f3digo abierto como alojamiento dedicado o, con la ayuda de un proveedor especializado, realizar una prueba piloto (prueba de concepto) por tu cuenta es mucho m\u00e1s eficaz que ver demostraciones en v\u00eddeo de soluciones privativas. Inmediatamente ver\u00e1s lo funcional y aplicable que es la soluci\u00f3n para tu empresa en particular.<\/p>\n

Al comparar soluciones de c\u00f3digo abierto y cerrado antes de la implementaci\u00f3n, es importante comprender qu\u00e9 tiempo queda disponible para las pruebas y si tienes la opci\u00f3n de cambiar el producto en sus primeras etapas. Si los plazos no son constantes y la respuesta a la segunda pregunta es afirmativa, tiene sentido realizar pruebas exhaustivas de un producto de c\u00f3digo abierto.<\/p>\n

El coste del soporte<\/strong><\/h2>\n

El soporte y la configuraci\u00f3n del d\u00eda a d\u00eda de muchas aplicaciones de c\u00f3digo abierto a escala industrial, as\u00ed como su adaptaci\u00f3n a altas cargas de trabajo, requieren un conocimiento muy espec\u00edfico y profundo por parte del equipo TI.<\/p>\n

Si esta opci\u00f3n no est\u00e1 disponible, este conocimiento deber\u00e1 adquirirse, ya sea mediante la contrataci\u00f3n o subcontrataci\u00f3n de expertos. Entre los tipos m\u00e1s comunes de subcontrataci\u00f3n se encuentra la ayuda de expertos espec\u00edficos de la aplicaci\u00f3n (formato Red Hat) o el alojamiento dedicado optimizado para una soluci\u00f3n TI espec\u00edfica (Kube Clusters, WP Engine o un formato similar).<\/p>\n

Por supuesto, el soporte de pago tambi\u00e9n es un est\u00e1ndar de las soluciones privativas; el de c\u00f3digo abierto no es el \u00fanico que lo necesita. El coste no es muy diferente: como muestra la pr\u00e1ctica, el soporte t\u00e9cnico anual para una aplicaci\u00f3n corporativa t\u00edpica de c\u00f3digo abierto es solo entre un 10 y un 15 % m\u00e1s econ\u00f3mico<\/a> que el de las soluciones privativas.<\/p>\n

La correcci\u00f3n de errores, las nuevas funciones y la posibilidad de escala<\/strong><\/h2>\n

Aunque las soluciones maduras de c\u00f3digo abierto se actualizan regularmente para ampliar sus funciones y corregir errores, a menudo puede suceder que los desarrolladores no prioricen un error cr\u00edtico para una empresa en particular. Esto es a\u00fan m\u00e1s com\u00fan en el caso de las solicitudes de funciones. Aqu\u00ed, debes sentarte y esperar pacientemente, o gastar el valioso tiempo de tus desarrolladores (internos o contratados) para que escriban el c\u00f3digo necesario. Lo bueno es que esto es posible (al menos te\u00f3ricamente); lo malo, que puede convertirse en un gasto importante e impredecible.<\/p>\n

Ten en cuenta que el alojamiento dedicado elimina la preocupaci\u00f3n de tener que andar instalando parches y actualizando aplicaciones, pero no puede evitar estos ajustes individuales. Una empresa con esta necesidad que accede al mercado de desarrollo debe elegir el formato de la extensi\u00f3n que crea: una bifurcaci\u00f3n del producto de software principal o una adici\u00f3n a la rama de desarrollo principal en asociaci\u00f3n con los desarrolladores originales de la aplicaci\u00f3n. Es aqu\u00ed donde entran en juego las ventajas estrat\u00e9gicas<\/a> del c\u00f3digo abierto: la flexibilidad de uso y la velocidad de la innovaci\u00f3n.<\/p>\n

La integraci\u00f3n y el soporte multiplataforma<\/strong><\/h2>\n

Para las soluciones multicomponente a gran escala que intercambian datos de forma activa, la integraci\u00f3n y la compatibilidad con diferentes plataformas pueden desempe\u00f1ar un papel importante en la elecci\u00f3n del producto de software. La prioridad aqu\u00ed es el soporte de formatos de la industria para el almacenamiento e intercambio de datos, adem\u00e1s de interfaces de programaci\u00f3n de aplicaciones (API) bien documentadas. A veces, una soluci\u00f3n de un solo proveedor con c\u00f3digo de software propietario puede cumplir estos requisitos mejor que un enjambre de soluciones de fuente abierta, incluso las de alta calidad. Pero siempre resulta \u00fatil estimar el coste que supone modificar una soluci\u00f3n de c\u00f3digo abierto si gana en otros criterios y ha pasado la fase de prueba de concepto.<\/p>\n

Riesgos, seguridad y cumplimiento<\/strong><\/h2>\n

A menudo, el c\u00f3digo abierto se promociona como la opci\u00f3n m\u00e1s segura. Despu\u00e9s de todo, que alguien pueda ver el c\u00f3digo fuente y corregir errores, debe ser m\u00e1s seguro que la oferta de una caja negra de software propietario, \u00bfcierto?<\/p>\n

Como siempre, la realidad es m\u00e1s complicada. En primer lugar, muchas aplicaciones de c\u00f3digo abierto tienen millones de l\u00edneas de c\u00f3digo que nadie puede auditar en su totalidad. La gran cantidad de actualizaciones de este c\u00f3digo solo complica a\u00fan m\u00e1s la tarea. Dicho esto, peque\u00f1o no significa seguro. Por ejemplo, la vulnerabilidad Shellshock<\/a> basada en Bash pas\u00f3 desapercibida durante 20 a\u00f1os.<\/p>\n

En segundo lugar, el problema de las dependencias es grave, ya que las aplicaciones y el c\u00f3digo tienen su propia cadena de suministro. Una aplicaci\u00f3n de c\u00f3digo abierto puede usar una biblioteca de c\u00f3digo abierto de terceros, que a su vez est\u00e9 vinculada a otra biblioteca de terceros, y es poco probable que los encargados de verificar la aplicaci\u00f3n comprueben tambi\u00e9n todas esas bibliotecas. Los riesgos de esta cadena se han demostrado muchas veces, por ejemplo: la vulnerabilidad en la biblioteca de registro gratuita Log4j<\/a> que afect\u00f3 a miles de grandes soluciones de c\u00f3digo abierto, impactando a gigantes como Amazon, Cloudflare y Elastic; el ataque que reemplaz\u00f3 las bibliotecas npm con hom\u00f3nimos maliciosos<\/a> funcion\u00f3 en Apple y Microsoft; y la decisi\u00f3n de un desarrollador independiente de no admitir la biblioteca left-pad<\/a> en el repositorio de npm que bloque\u00f3 m\u00e1s de mil aplicaciones y sitios populares (incluido Facebook) durante varias horas.<\/p>\n

\"Dependencias<\/a>

Dependencias de software. Fuente. <\/a><\/p><\/div>\n

Otro problema con las dependencias son las licencias. Las licencias de c\u00f3digo abierto son bastante espec\u00edficas y no tener que pagar no significa que no haya un titular de los derechos de autor. La aplicaci\u00f3n en s\u00ed y sus bibliotecas pueden venir con varias licencias, y la violaci\u00f3n de las m\u00e1s estrictas (copyleft<\/em><\/a>) est\u00e1 plagada de litigios. Al igual que el proceso bien establecido de auditor\u00eda de seguridad TI y mitigaci\u00f3n de vulnerabilidades, los principales usuarios y desarrolladores de software de c\u00f3digo abierto deben tener un proceso similar para verificar peri\u00f3dicamente el cumplimiento de la licencia, a poder ser semiautomatizado<\/a>.<\/p>\n

Todo lo anterior no significa que el c\u00f3digo abierto sea la peor opci\u00f3n desde la perspectiva de la seguridad de la informaci\u00f3n. Solo debes comprender todos los riesgos: el equipo de implementaci\u00f3n debe evaluar la cultura de desarrollo y la frecuencia de las actualizaciones de seguridad en las aplicaciones de la competencia y controlar las dependencias y licencias (por ejemplo, mediante el uso de SBOM, siglas en ingl\u00e9s de software bill of materials<\/em>). Adem\u00e1s, si tu empresa trabaja en el campo de desarrollo de software, es una buena idea escanear todos los paquetes de c\u00f3digo abierto en busca de vulnerabilidades y funcionalidades maliciosas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Cada vez m\u00e1s empresas usan soluciones de c\u00f3digo abierto. \u00bfC\u00f3mo se puede hacer esta transici\u00f3n correctamente y cu\u00e1les son los riesgos que deben tener en cuenta?<\/p>\n","protected":false},"author":2722,"featured_media":28526,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[182,2798,1474,1533,215,1312],"class_list":{"0":"post-28525","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-aplicaciones","10":"tag-codigo-abierto","11":"tag-desarrollo","12":"tag-economia","13":"tag-empresas","14":"tag-riesgos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/open-source-for-business-risks\/28525\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/open-source-for-business-risks\/25351\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/open-source-for-business-risks\/20792\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/open-source-for-business-risks\/27963\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/open-source-for-business-risks\/25644\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/open-source-for-business-risks\/26073\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/open-source-for-business-risks\/34824\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/open-source-for-business-risks\/47442\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/open-source-for-business-risks\/20295\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/open-source-for-business-risks\/20919\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/open-source-for-business-risks\/25953\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/open-source-for-business-risks\/31666\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/open-source-for-business-risks\/31373\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/codigo-abierto\/","name":"c\u00f3digo abierto"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28525"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28525\/revisions"}],"predecessor-version":[{"id":28529,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28525\/revisions\/28529"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28526"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28525"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28525"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}