Hacia mayor rendición de cuentas en Raku

Cyber Resilience Act exige trazabilidad y SBOMs en código abierto y Raku. Conoce CycloneDX/SPDX y cómo Q2BSTUDIO facilita evaluación de riesgos y cumplimiento.

17 ago 2025 • 4 min de lectura • Equip Q2BSTUDIO

Inteligencia-Artificial-
Hacia una mayor responsabilidad de los programas Raku

Poco después de la Second Raku Core Summit en junio quedó claro que había un elefante en la sala que no se había discutido lo suficiente: la aplicación progresiva del Cyber Resilience Act en Europa y cómo esto afectará al software de código abierto y en particular al lenguaje de programación Raku.

En esencia la obligación clave es la siguiente: las empresas deben realizar evaluaciones de riesgo cibernético antes de poner un producto en el mercado y mantener un inventario de datos y la documentación durante los 10 años posteriores a su puesta en el mercado o durante su periodo de soporte, lo que sea más largo. Este requisito choca directamente con la realidad de muchos proyectos de software a medida y software de código abierto, donde la trazabilidad completa de dependencias no siempre está automatizada.

El punto crítico para los lenguajes de programación en general y para Raku en particular es el concepto de evaluaciones de riesgo cibernético sobre un programa y todas sus dependencias. Hoy por hoy esa tarea se hace en gran medida de forma manual, lo que la vuelve demasiado costosa y compleja para muchas empresas que consumen open source. Ese coste podría llevar a organizaciones a reducir su uso de proyectos abiertos o a exigir garantías adicionales a proveedores y desarrolladores.

Por suerte existe desde hace una década el concepto de Software Bill Of Materials o SBOM que ayuda a resolver esa trazabilidad. Un SBOM es una representación legible por máquina de todas las dependencias de una aplicación instalada en un entorno determinado, y permite evaluaciones automatizadas frente a vulnerabilidades conocidas.

Existen varios estándares de SBOM en uso. Los dos más relevantes son SPDX y CycloneDX basado en ECMA 424. CycloneDX se ha mostrado particularmente adecuado para proyectos de código abierto y flujos de trabajo que requieren interoperabilidad y detalles sobre componentes en tiempo de ejecución, lo que lo convierte en una opción natural para la comunidad Raku.

Un ejemplo práctico: si se descubre una vulnerabilidad en la biblioteca OpenSSL y una empresa europea usa una aplicación Cro como backend para su app móvil, es posible que Cro dependa de IO::Socket::Async::SSL que a su vez dependa de la distribución OpenSSL y por tanto de la biblioteca OpenSSL del sistema. La empresa debe poder identificar esa cadena de dependencias, evaluar el riesgo, aplicar las actualizaciones necesarias en los plazos que marque la normativa y emitir un SBOM actualizado que pruebe cumplimiento con el Cyber Resilience Act.

¿Estamos preparados para esto ahora mismo? No del todo. Las discusiones en la UE sobre qué se debe producir y en qué plazos todavía están en curso, pero parece que las conclusiones llegarán en meses y no en años. Por eso es momento de preparar el ecosistema Raku para este nuevo entorno regulatorio.

Lejos de ser solo una amenaza, el Cyber Resilience Act representa una oportunidad para los proyectos de código abierto y para lenguajes como Raku. Obligar a producir SBOMs claros y evaluaciones de riesgo fomentará mejores prácticas de calidad, seguridad y mantenimiento, y permitirá a los desarrolladores y empresas demostrar responsabilidad y cumplimiento ante clientes y reguladores.

En Q2BSTUDIO vemos esta transición como una oportunidad para ayudar a empresas y comunidades a adaptarse. Somos una empresa de desarrollo de software y aplicaciones a medida especialistas en inteligencia artificial, ciberseguridad y mucho más. Ofrecemos servicios de software a medida, aplicaciones a medida, servicios cloud AWS y Azure, servicios de inteligencia de negocio y soluciones con Power BI. También desarrollamos agentes IA y soluciones de ia para empresas que automatizan evaluaciones de riesgo, generan SBOMs en formatos CycloneDX o SPDX y facilitan la gobernanza de dependencias en entornos productivos.

Nuestros servicios cubren desde auditorías de ciberseguridad y generación automatizada de SBOMs hasta integración continua que actualiza inventarios de componentes en tiempo real y pipelines de remediación para mitigar vulnerabilidades rápidamente. Con soluciones de inteligencia artificial aplicadas a la seguridad y a la inteligencia de negocio ayudamos a priorizar riesgos, predecir impacto y reducir tiempos de respuesta frente a incidentes.

En el caso concreto de Raku hemos empezado a desarrollar herramientas que automatizan la recolección de dependencias, la creación de SBOMs compatibles con CycloneDX y SPDX y la vinculación con bases de datos de vulnerabilidades para permitir evaluaciones programáticas. Estas iniciativas buscan convertir el posible riesgo regulatorio en una ventaja competitiva para proyectos y empresas que usan Raku.

Conclusión: se avecinan tiempos emocionantes. El Cyber Resilience Act acelera la demanda de trazabilidad, seguridad y responsabilidad en todo el ciclo de vida del software. Para la comunidad Raku y para el software de código abierto en general esto puede ser un impulso hacia prácticas más robustas y sostenibles. En Q2BSTUDIO estamos preparados para acompañar a organizaciones en ese viaje, aportando experiencia en desarrollo de software a medida, inteligencia artificial, ciberseguridad, servicios cloud AWS y Azure, servicios inteligencia de negocio, agentes IA y Power BI para mejorar tanto cumplimiento regulatorio como eficiencia operativa.

En próximas entradas del blog detallaremos aspectos concretos del CRA y mostraremos el software que hemos desarrollado para convertir la amenaza en oportunidad para Raku y para cualquier organización que necesite cumplir con los nuevos requisitos de resiliencia cibernética.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.