Hacia una mayor responsabilidad de los programas RakuPoco después de la Second Raku Core Summit en junio quedó claro que había un elefante en la sala que no se había discutido lo suficiente: la aplicación progresiva del Cyber Resilience Act en Europa y cómo esto afectará al software de código abierto y en particular al lenguaje de programación Raku.
En esencia la obligación clave es la siguiente: las empresas deben realizar evaluaciones de riesgo cibernético antes de poner un producto en el mercado y mantener un inventario de datos y la documentación durante los 10 años posteriores a su puesta en el mercado o durante su periodo de soporte, lo que sea más largo. Este requisito choca directamente con la realidad de muchos proyectos de software a medida y software de código abierto, donde la trazabilidad completa de dependencias no siempre está automatizada.
El punto crítico para los lenguajes de programación en general y para Raku en particular es el concepto de evaluaciones de riesgo cibernético sobre un programa y todas sus dependencias. Hoy por hoy esa tarea se hace en gran medida de forma manual, lo que la vuelve demasiado costosa y compleja para muchas empresas que consumen open source. Ese coste podría llevar a organizaciones a reducir su uso de proyectos abiertos o a exigir garantías adicionales a proveedores y desarrolladores.
Por suerte existe desde hace una década el concepto de Software Bill Of Materials o SBOM que ayuda a resolver esa trazabilidad. Un SBOM es una representación legible por máquina de todas las dependencias de una aplicación instalada en un entorno determinado, y permite evaluaciones automatizadas frente a vulnerabilidades conocidas.
Existen varios estándares de SBOM en uso. Los dos más relevantes son SPDX y CycloneDX basado en ECMA 424. CycloneDX se ha mostrado particularmente adecuado para proyectos de código abierto y flujos de trabajo que requieren interoperabilidad y detalles sobre componentes en tiempo de ejecución, lo que lo convierte en una opción natural para la comunidad Raku.
Un ejemplo práctico: si se descubre una vulnerabilidad en la biblioteca OpenSSL y una empresa europea usa una aplicación Cro como backend para su app móvil, es posible que Cro dependa de IO::Socket::Async::SSL que a su vez dependa de la distribución OpenSSL y por tanto de la biblioteca OpenSSL del sistema. La empresa debe poder identificar esa cadena de dependencias, evaluar el riesgo, aplicar las actualizaciones necesarias en los plazos que marque la normativa y emitir un SBOM actualizado que pruebe cumplimiento con el Cyber Resilience Act.
¿Estamos preparados para esto ahora mismo? No del todo. Las discusiones en la UE sobre qué se debe producir y en qué plazos todavía están en curso, pero parece que las conclusiones llegarán en meses y no en años. Por eso es momento de preparar el ecosistema Raku para este nuevo entorno regulatorio.
Lejos de ser solo una amenaza, el Cyber Resilience Act representa una oportunidad para los proyectos de código abierto y para lenguajes como Raku. Obligar a producir SBOMs claros y evaluaciones de riesgo fomentará mejores prácticas de calidad, seguridad y mantenimiento, y permitirá a los desarrolladores y empresas demostrar responsabilidad y cumplimiento ante clientes y reguladores.
En Q2BSTUDIO vemos esta transición como una oportunidad para ayudar a empresas y comunidades a adaptarse. Somos una empresa de desarrollo de software y aplicaciones a medida especialistas en inteligencia artificial, ciberseguridad y mucho más. Ofrecemos servicios de software a medida, aplicaciones a medida, servicios cloud AWS y Azure, servicios de inteligencia de negocio y soluciones con Power BI. También desarrollamos agentes IA y soluciones de ia para empresas que automatizan evaluaciones de riesgo, generan SBOMs en formatos CycloneDX o SPDX y facilitan la gobernanza de dependencias en entornos productivos.
Nuestros servicios cubren desde auditorías de ciberseguridad y generación automatizada de SBOMs hasta integración continua que actualiza inventarios de componentes en tiempo real y pipelines de remediación para mitigar vulnerabilidades rápidamente. Con soluciones de inteligencia artificial aplicadas a la seguridad y a la inteligencia de negocio ayudamos a priorizar riesgos, predecir impacto y reducir tiempos de respuesta frente a incidentes.
En el caso concreto de Raku hemos empezado a desarrollar herramientas que automatizan la recolección de dependencias, la creación de SBOMs compatibles con CycloneDX y SPDX y la vinculación con bases de datos de vulnerabilidades para permitir evaluaciones programáticas. Estas iniciativas buscan convertir el posible riesgo regulatorio en una ventaja competitiva para proyectos y empresas que usan Raku.
Conclusión: se avecinan tiempos emocionantes. El Cyber Resilience Act acelera la demanda de trazabilidad, seguridad y responsabilidad en todo el ciclo de vida del software. Para la comunidad Raku y para el software de código abierto en general esto puede ser un impulso hacia prácticas más robustas y sostenibles. En Q2BSTUDIO estamos preparados para acompañar a organizaciones en ese viaje, aportando experiencia en desarrollo de software a medida, inteligencia artificial, ciberseguridad, servicios cloud AWS y Azure, servicios inteligencia de negocio, agentes IA y Power BI para mejorar tanto cumplimiento regulatorio como eficiencia operativa.
En próximas entradas del blog detallaremos aspectos concretos del CRA y mostraremos el software que hemos desarrollado para convertir la amenaza en oportunidad para Raku y para cualquier organización que necesite cumplir con los nuevos requisitos de resiliencia cibernética.