Google considera que la atención que recibe la seguridad del código abierto está justificada y asegurar la confianza de los usuarios requiere de un consenso sobre posibles soluciones como la que ellos proponen: en pocas palabras, que los desarrolladores se responsabilicen de sus desarrollos.

Ingenieros de Mountain View proponen un marco fundamentado en tres aspectos: conocer, prevenir, corregir. La idea básica es que los responsables de proyectos open source considerados críticos por la industria deben ser identificables, responsables y autentificados. No podrían actuar por libre.

Los responsables de proyectos "críticos" de código abierto deberían ser identificables, responsables y autentificados, según la propuesta de Google.

Las reglas de Google para el código abierto más "crítico" según la industria

Desde Google consideran fundamental dos aspectos: alcanzar un consenso sobre metadatos y estándares de identidad y conseguir una mayor transparencia y revisión del mencionado software crítico. Este es el maro fundamental a partir del cual proponen desarrollar el resto de soluciones.

El primer aspecto lo consideran clave a la hora de permitir la automatización, reducir el esfuerzo requerido para actualizaciones y minimizar el impacto de vulnerabilidad. El segundo, explican, es necesario para asegurar una revisión suficiente de los proyectos críticos, evitar cambios unilaterales y obtener de forma transparente versiones oficiales verificables y bien definidas.

Desde Google creen que las limitaciones adicionales en el software de código abierto son fundamentales para la seguridad

…