[HACK] La seguridad del software de código abierto puesta en entredicho
zero
zeroboy at arrakis.es
Tue Nov 26 22:26:33 CET 2002
Para los que no lo hayan leido:
http://www.hispasec.com/unaaldia.asp?id=1493
Sinceramente estoy de acuerdo con Xavier. No se puede realizar un análisis
basándose solamente en el número de incidentes del CERT. Todo programa está
sujeto a fallos, absolutamente todos. La gran diferencia es que en
programas de código abierto estos fallos se detectan mucho antes. Esto no
quiere decir que tengan que ser exclusivos de seguridad sino de cualquier
índole. Evidentemente será más facil auditar un código si este está
disponible al público que si es cerrado. Lo cual no quiere decir que uno
sea mejor que otro. Existen los mismo fallos y quizas algunos más en el
código propietario por el mero hecho de que se basan en muchos caso en la
denominada "security through obscurity". Puesto que nadie más que los
desarrolladores va a tocar ese código la auditoría a la que está sujeta
esas líneas no es ni de cerca comparable a la que está sujeta el código
abierto.
Lo importante del tema no es el número de vulnerabilidades que
salen sino la rapidez con las que se solucionan. No voy a poner ejemplos
pero en general los parches para código cerrado suelen tardar algo más que
el de código abierto por el mero hecho de que la propia gente que descubre
los fallos propone el parche. Con esto no estoy defendiendo ninguno de los
dos modelos, ambos dos tienen sus propias limitaciones intrínsecas pero me
parece que un estudio que solamente se dedica a contabilizar el número de
incidencias no llega a una buena conlcusión.
[snip]
The report lauds Microsoft for having overhauled its development process in
an attempt to fix security problems, and says, "Perhaps it is time for some
of the suppliers of open source and Linux software to take similar measures."
[/snip]
En fin... jeje lo que hay que escuchar...
Salu2
www.citfi.org
www.podergeek.com
**********************************
"The further backward you look, the further forward you can see" Winston
Churchill
"Access is GOD..."
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 222 bytes
Desc: not available
URL: <https://mailman.jcea.es/pipermail/hacking/attachments/20021126/5b104d29/attachment.sig>
More information about the hacking
mailing list