miércoles, 15 de octubre de 2014

¿Hay suficientes ojos revisando los proyectos de software libre?






15 de octubre de 2014, 23:50




Heartbleed y Shellshock , son los nombres de dos vulnerabilidades "famosas", que se dieron a conocer hace poco tiempo en proyectos importantísimos del software libre: OpenSSL y BASH , respectivamente.


Ambos proyectos son utilizados por una inmensa cantidad de usuarios, y ambas vulnerabilidades son lo suficientemente peligrosas como para permitir que un atacante obtenga claves y accesos sin autorización a sistemas de forma remota.


Por supuesto, estos problemas fueron solucionados lo mas rápido posible desde el momento que se descubrieron. Y actualmente, ya no representan casi una amenaza a pesar del miedo que algunos medios lograron infundir en los usuarios.


¿Cuál es el verdadero problema?


El problema real de estas vulnerabilidades radica principalmente cuando tenemos en cuenta que Heartbleed, la vulnerabilidad de OpenSSL, estuvo presente en todas las versiones de este software usadas desde el año 2012, y Shellshock, la vulnerabilidad de bash, existe desde hace dos décadas.


Tantos años que estuvieron ahí, que cualquiera tranquilamente pudo haberse aprovechado de esto, con la ventaja de saber que para colmo, Heartbleed es prácticamente indetectable ante los sistemas de seguridad que existen.


La ley de Linus


suficientes ojos sl charla

Fotografía: hko_s



Hay un dicho conocido como la Ley de Linus, dedicada por Eric S. Raymond a Linus Torvalds (autor del kernel de Linux), que dice básicamente:


"Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios".


Este argumento es el que utilizan generalmente los defensores del software libre, para confiar en que las aplicaciones que utilizan sean actualmente más seguros que sus contrapartes privativas.


En la teoría, puede parecer algo obvio, e incluso hay algunas investigaciones que parecen afirmarlo, como el proyecto de Coverity Scan .


Sin embargo, en la realidad se ha ido demostrando que simplemente tener mucha cantidad de usuarios en un proyecto no significa que haya una gran cantidad de estos auditando el código o colaborando en mejorarlo. Incluso en los casos de proyectos que posean un buen número de desarrolladores activos, no significa que todos tengan la capacidad para descubrir todos los errores.


Conclusiones



Tampoco es cuestión de ser extremista y pensar que el software libre no funciona, al contrario: Muchos bugs y vulnerabilidades han sido solucionados y los parches y actualizaciones distribuidos con una velocidad sorprendente, casi imposible si no fuese por la filosofía que siguen.


Pero sí hay que tener en cuenta el hecho de que el software libre no son un conjunto de proyectos que se mantienen por sí solos de forma mágica. Como cualquier otro proyecto requiere colaboradores (tanto mano de obra como dinero), gente capacitada y mucho trabajo para poder llegar a cumplir sus objetivos.


"Que el software sea libre no quiere decir que nunca deberemos pagar un centavo por él, y siempre habrá alguien manteniéndolo por nosotros"


A mi parecer, por esto, no estaría mal que se permita la venta de ciertos servicios o aplicaciones, aunque se trate de software libre. Muchos usuarios tenemos la mala costumbre de pensar que el hecho de que el software sea libre, indica que nunca deberemos pagar un sólo centavo por él, y que siempre habrá alguien manteniendo el software por nosotros.


Nunca olvidemos que hay muchísimas formas en las que podemos colaborar, y por supuesto, toda ayuda es bienvenida, aunque sean donaciones o colaboraciones pequeñas como traducciones, diseños, o incluso soporte o documentación. De esta forma, las tareas sencillas quedarán cubiertas y quienes posean ciertos conocimientos avanzados podrán dedicarse, quizás incluso como trabajo pago, a los problemas complicados.




The post ¿Hay suficientes ojos revisando los proyectos de software libre? appeared first on i-RME.es.


from i-RME.es http://ift.tt/11p2VXW

Este articulo pertenece a sus respectivos autores y se distribuye bajo licencia Creative Commons Reconocimiento 3.0. Algunos articulos pertenecen a BlogdeBlogs quien es el responsable de definir la licencia aplicable.

No hay comentarios:

Publicar un comentario