IronBee


Es un proyecto para desarrollar un Firewall o Cortafuegos Open Source, una aplicación web que permita brindar mayor seguridad en sistemas que utilicen Cloud Computing o "La Nube" para operar.
Es un proyecto ambicioso pero en mi opinión muy realizable precisamente por la  calidad y planteamiento del proyecto en sí. Existe un documento oficial que proporciona Qualys Inc. para formar parte de su comunidad y formar parte del proceso de diseño, desarrollo e implementación. Se proponen lineamientos claros de trabajo y objetivos interesantes a desarrollar. Todos estamos invitados a participar y contactar al equipo del proyecto.
IronBee ya lleva un tiempo de gestión. Ya se completó la etapa inicial de diseño e implementación del prototipo inicial. Ahora se invita a la comunidad especializada en IT a proponer ideas, soluciones y desarrollar en conjunto un estándar que cumpla con el Objetivo Principal, construir un sensor universal para mantener la seguridad de las aplicaciones web a través de un estándar beneficioso para todos.
Cómo? Construyendo un WAF (Web Application Firewall - es un plugin de servidor con un sistema de reglas para HTTP que supervisa y controla la circulación de los datos para prevenir posibles ataques) que sea seguro, de alto rendimiento, portable, y libremente disponible incluso para el uso comercial.
Es una realidad que en la actualidad existe la NECESIDAD de monitoriar la seguridad de las aplicaciones web.
Es real que existe una falta de madurez en la ingeniería de software y que no alcanza con proporcionar reglas o lineamientos generales para realizar las "mejores practicas" durante el proceso de construir una aplicación web sólida y robusta. Recordemos que la tecnología es muy cambiante y no evolucionan hardware y software al mismo nivel, sino que muchas veces entran en conflicto. Es normal que el hardware lleve la delantera y que  el software tenga que ajustar un conjunto de parámetros no contemplados por los desarrolladores iniciales de las nuevas herramientas y dispositivos, hasta el punto de atentar con la Seguridad mientras todo se ajusta y muchas veces esto se produce mientras se evalua si es rentable proseguir adelante con el proyecto. Con esto queda claro que muchas veces se sacrifica la seguridad y se relega a una segunda instancia hasta que realmente se presenten los problemas o se justifica invertir tiempo en cuestiones de vulnerabilidad. Entonces nos encontramos con la paradoja Usabilidad vs. Seguridad. El mundo de los negocios se mueve muy rápido y el tema de Seguridad no ocupa la prioridad recomendada sino que se desplaza por la Usabilidad o más precisamente la Rentabilidad de un producto, su impacto en el mercado.
Recordemos que la Usabilidad de las aplicaciones vigentes no va de la mano de las etapas que los usuarios necesitan tanto para aprender y utilizar un producto. Es decir un usuario descubre que aparece una versión nueva o que dispone de un producto aun más evolucionado pero similar al que que utiliza. BOOM: aparecen novedades importantes, mejoras, y muchas veces se eliminan características que todavia no se evaluaron realmente por todos anunciando una sustancial mejora del producto. Todo esto genera inestabilidad y con ella va de la mano la vulnerabilidad.
Como se maneja en REALIDAD todo esto? con conformidad, parches, protecciones contra aquellos exploits "mejor conocidos", fortalecer aplicaciones, monitoriar la seguridad de alguna aplicación en tiempo real y seguir de cerca la aparición de vulnerabilidades para subsanarlas.
El ambicioso proyecto de IronBee es un principio para resolver  o por lo menos disminuir el impacto y la verdadera forma de construir aplicaciones web que se lleven a la nube y evitar invertir a posteriori más recursos en Seguridad de los que se deberían si se hicieran bien las cosas desde un principio. Y no menos importante, una forma de hacerlo que yo respeto y comparto: OPEN SOURCE.
Se puede leer más en profundidad el "WhitePaper de IronBee" siguiendo el enlace; es un archivo pdf con la propuesta completa y los datos técnicos necesarios para profundizar más e inclusive contactarlos.
Si lo que deseas es conocer a fondo la documentación técnica puedes dirigirte directamente al Manual de IronBee, es muy completo (54 pg muy bien estructuradas).
Desde ya adelanto que todo el material está en inglés.





Entradas populares de este blog

Lovelace: alternativa del Test de Turing

Soluciones de IA aplicadas a "Compliance"