Hacia mayor rendición de cuentas en Raku

Cyber Resilience Act exige trazabilidad y SBOMs en código abierto y Raku. Conoce CycloneDX/SPDX y cómo Q2BSTUDIO facilita evaluación de riesgos y cumplimiento.

17 ago 2025 • 4 min read • Q2BSTUDIO Team

Inteligencia-Artificial-
Hacia una mayor responsabilidad de los programas Raku

Poco después de la Second Raku Core Summit en junio quedó claro que había un elefante en la sala que no se había discutido lo suficiente: la aplicación progresiva del Cyber Resilience Act en Europa y cómo esto afectará al software de código abierto y en particular al lenguaje de programación Raku.

En esencia la obligación clave es la siguiente: las empresas deben realizar evaluaciones de riesgo cibernético antes de poner un producto en el mercado y mantener un inventario de datos y la documentación durante los 10 años posteriores a su puesta en el mercado o durante su periodo de soporte, lo que sea más largo. Este requisito choca directamente con la realidad de muchos proyectos de software a medida y software de código abierto, donde la trazabilidad completa de dependencias no siempre está automatizada.

El punto crítico para los lenguajes de programación en general y para Raku en particular es el concepto de evaluaciones de riesgo cibernético sobre un programa y todas sus dependencias. Hoy por hoy esa tarea se hace en gran medida de forma manual, lo que la vuelve demasiado costosa y compleja para muchas empresas que consumen open source. Ese coste podría llevar a organizaciones a reducir su uso de proyectos abiertos o a exigir garantías adicionales a proveedores y desarrolladores.

Por suerte existe desde hace una década el concepto de Software Bill Of Materials o SBOM que ayuda a resolver esa trazabilidad. Un SBOM es una representación legible por máquina de todas las dependencias de una aplicación instalada en un entorno determinado, y permite evaluaciones automatizadas frente a vulnerabilidades conocidas.

Existen varios estándares de SBOM en uso. Los dos más relevantes son SPDX y CycloneDX basado en ECMA 424. CycloneDX se ha mostrado particularmente adecuado para proyectos de código abierto y flujos de trabajo que requieren interoperabilidad y detalles sobre componentes en tiempo de ejecución, lo que lo convierte en una opción natural para la comunidad Raku.

Un ejemplo práctico: si se descubre una vulnerabilidad en la biblioteca OpenSSL y una empresa europea usa una aplicación Cro como backend para su app móvil, es posible que Cro dependa de IO::Socket::Async::SSL que a su vez dependa de la distribución OpenSSL y por tanto de la biblioteca OpenSSL del sistema. La empresa debe poder identificar esa cadena de dependencias, evaluar el riesgo, aplicar las actualizaciones necesarias en los plazos que marque la normativa y emitir un SBOM actualizado que pruebe cumplimiento con el Cyber Resilience Act.

¿Estamos preparados para esto ahora mismo? No del todo. Las discusiones en la UE sobre qué se debe producir y en qué plazos todavía están en curso, pero parece que las conclusiones llegarán en meses y no en años. Por eso es momento de preparar el ecosistema Raku para este nuevo entorno regulatorio.

Lejos de ser solo una amenaza, el Cyber Resilience Act representa una oportunidad para los proyectos de código abierto y para lenguajes como Raku. Obligar a producir SBOMs claros y evaluaciones de riesgo fomentará mejores prácticas de calidad, seguridad y mantenimiento, y permitirá a los desarrolladores y empresas demostrar responsabilidad y cumplimiento ante clientes y reguladores.

En Q2BSTUDIO vemos esta transición como una oportunidad para ayudar a empresas y comunidades a adaptarse. Somos una empresa de desarrollo de software y aplicaciones a medida especialistas en inteligencia artificial, ciberseguridad y mucho más. Ofrecemos servicios de software a medida, aplicaciones a medida, servicios cloud AWS y Azure, servicios de inteligencia de negocio y soluciones con Power BI. También desarrollamos agentes IA y soluciones de ia para empresas que automatizan evaluaciones de riesgo, generan SBOMs en formatos CycloneDX o SPDX y facilitan la gobernanza de dependencias en entornos productivos.

Nuestros servicios cubren desde auditorías de ciberseguridad y generación automatizada de SBOMs hasta integración continua que actualiza inventarios de componentes en tiempo real y pipelines de remediación para mitigar vulnerabilidades rápidamente. Con soluciones de inteligencia artificial aplicadas a la seguridad y a la inteligencia de negocio ayudamos a priorizar riesgos, predecir impacto y reducir tiempos de respuesta frente a incidentes.

En el caso concreto de Raku hemos empezado a desarrollar herramientas que automatizan la recolección de dependencias, la creación de SBOMs compatibles con CycloneDX y SPDX y la vinculación con bases de datos de vulnerabilidades para permitir evaluaciones programáticas. Estas iniciativas buscan convertir el posible riesgo regulatorio en una ventaja competitiva para proyectos y empresas que usan Raku.

Conclusión: se avecinan tiempos emocionantes. El Cyber Resilience Act acelera la demanda de trazabilidad, seguridad y responsabilidad en todo el ciclo de vida del software. Para la comunidad Raku y para el software de código abierto en general esto puede ser un impulso hacia prácticas más robustas y sostenibles. En Q2BSTUDIO estamos preparados para acompañar a organizaciones en ese viaje, aportando experiencia en desarrollo de software a medida, inteligencia artificial, ciberseguridad, servicios cloud AWS y Azure, servicios inteligencia de negocio, agentes IA y Power BI para mejorar tanto cumplimiento regulatorio como eficiencia operativa.

En próximas entradas del blog detallaremos aspectos concretos del CRA y mostraremos el software que hemos desarrollado para convertir la amenaza en oportunidad para Raku y para cualquier organización que necesite cumplir con los nuevos requisitos de resiliencia cibernética.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.