Siga ZDNET: Agréganos como fuente preferida en Google.
Conclusiones clave de ZDNET
- EmeritOSS proporciona una nueva vida a tres proyectos de código abierto.
- La herramienta agrega una forma de parchear programas que de otro modo estarían abandonados.
- Se agregarán más proyectos de código abierto si hay demanda.
Puede que le resulte difícil de creer, pero hay aspectos críticos programas de código abiertocomo Los Ingress-NGINX de Kubernetes, que mueren por falta de soporte. Ahora, Chainguard, una empresa de ciberseguridad centrada en proteger la cadena de suministro de software, está dando un paso adelante EméritoOSS para mantener vivos estos programas. EmeritOSS es una solución centrada en la estabilidad programa que preserva y asegura proyectos de código abierto maduros, populares, pero no mantenidosempezando por Kaniko, Kubeapps y Ingreso-NGINX.
'Responsabilidad sostenible'
Chainguard describe EmeritOSS como «administración sostenible para código abierto maduro», apuntando a proyectos ampliamente utilizados que han alcanzado la madurez funcional pero han perdido a sus mantenedores activos o han sido archivados. El objetivo no es agregar nuevas funciones, sino brindar un mantenimiento seguro y predecible, para que las organizaciones puedan ejecutar cargas de trabajo críticas mientras planifican migraciones o adoptan tecnologías sucesoras.
También: La IA ya es parte de las tuberías de Linux, les guste o no a los desarrolladores
EmeritOSS se centra en proyectos que permanecen profundamente arraigados en entornos de producción, donde el archivo o el abandono repentino pueden crear riesgos operativos y de seguridad. Chainguard posiciona el programa como un modelo para la sostenibilidad de OSS a largo plazo, citando preocupaciones de larga data de la comunidad sobre lo que sucede cuando los mantenedores clave se alejan.
También: Esta nueva plataforma Linux le permitirá actualizar su próximo automóvil en casa, a partir de 2027
Bajo EmeritOSS, Chainguard ofrece varios niveles de mantenimiento para proyectos seleccionados archivados o sin mantenimiento. Este enfoque incluye la creación de bifurcaciones públicas centradas en la estabilidad, la actualización de dependencias y la emisión de nuevas versiones con correcciones de vulnerabilidades. La empresa también documenta el alcance del soporte y los niveles de servicio y, cuando corresponde, agrega estos proyectos a su catálogo de imágenes reforzadas y Repositorios de paquetes APK basados en Wolfi.
Medidas de continuidad
La compañía enfatiza que estos resultados «no son bifurcaciones hostiles», sino más bien medidas de continuidad que respetan a los mantenedores originales y al mismo tiempo protegen a los usuarios intermedios. El código bifurcado permanece disponible gratuitamente en formato fuente en GitHub, mientras que las organizaciones que quieran imágenes o paquetes de contenedores mantenidos continuamente pueden obtenerlos a través de la distribución comercial de Chainguard.
Chainguard inició este programa en junio de 2025, después de que Google lo archivara Kaniko. Esta herramienta que alguna vez fue popular permitió a los desarrolladores crear imágenes de contenedores a partir de un Dockerfile dentro de un contenedor o un Clúster de Kubernetes. Cuando Google lo cerró, los clientes de Chainguard le dijeron a la empresa que el cambio les causaba dolores de cabeza. Ese problema provocó Protector de cadena para intervenir con una horquilla Kaniko de solo mantenimiento que ofrece correcciones de vulnerabilidades y exposiciones comunes (CVE) y actualizaciones de dependencia durante la transición de los equipos.
Chainguard ahora ha agregado Kubeappsque proporciona un panel gráfico para implementar y administrar aplicaciones en clústeres de Kubernetes, e Ingress-NGINX, que enruta el tráfico HTTP y HTTPS externo a servicios que se ejecutan dentro de un clúster, como miembros de EmeritOSS. La compañía describe ambas como «herramientas amadas», cuyos usuarios requieren soporte continuo.
Absorbe riesgos innecesarios
La compañía sostiene que sin un camino predecible para que los proyectos maduros pasen a una gestión segura y a largo plazo, el ecosistema absorbe riesgos innecesarios, incluidas vulnerabilidades sin parches y oleoductos frágiles. EmeritOSS complementa el trabajo existente de Chainguard en imágenes base seguras, Wolfi e iniciativas de seguridad, como Rotaciones de guardia de Sigstore y financiación para la Fondo de código abierto seguro de GitHub.
De cara al futuro, las organizaciones que dependen de proyectos archivados o no mantenidos pueden enviarlos a Chainguard para su consideración a través de un formulario en línea. Chainguard dice que continuará agregando nuevos miembros donde haya una demanda clara y continua y donde un modelo basado únicamente en la estabilidad tenga sentido, enfatizando que su trabajo es mantener estos proyectos «de forma segura en ese estado», no hacer que evolucionen.
Desafortunadamente, la evidencia sugiere que existen muchos programas de este tipo. Una carta abierta reciente firmada por 10 fundaciones de código abierto señaló que «la mayoría de estos sistemas (de código abierto) operan bajo una premisa peligrosamente frágil: a menudo se mantienen, operan y financian de manera que dependen de la buena voluntad, en lugar de mecanismos que alinean la responsabilidad con el uso».
También: Por qué la gente seguirá recurriendo a Linux en 2025 (y no es sólo para escapar de Windows)
Hoy, prosiguen las fundaciones, «un pequeño número de organizaciones absorben la mayor parte de los costes de infraestructura, mientras que la inmensa mayoría de los usuarios a gran escala, incluidas las entidades comerciales que generan demanda y extraen valor económico, consumen estos servicios sin contribuir a su sostenibilidad».
Responsabilidad compartida
Como explicó el cofundador y director ejecutivo de Chainguard, Dan Lorenc, en una columna en La nueva pila:
necesitamos una forma para que los mantenedores de código abierto entreguen con gracia proyectos «terminados» incluso cuando ya no tienen una hoja de ruta de características importantes. Necesitamos ofrecerles un lugar donde:
- Los proyectos maduros pueden pasar de mantenedores individuales a una organización confiable responsable de la administración a largo plazo.
- Los CVE reciben parches continuamente, incluso sin que se trabajen nuevas funciones.
- La reproducibilidad y la confianza permanecen, sin compromisos semanales.
Esta graduación debería indicar que el proyecto es estable, valioso y está listo para una larga vida respaldada por la responsabilidad compartida.
Lorenc tiene razón. No podemos seguir permitiendo que proyectos vitales fracasen sin apoyo a largo plazo. Chainguard está dando un paso adelante para mejorar este problema persistente del código abierto con EmeritOSS.
