[HACK] La seguridad del software de código abierto puesta en entredicho

zero zeroboy at arrakis.es
Thu Nov 28 10:09:31 CET 2002 

>
>De hecho, el caso de openssh es particularmente interesante: la gente de
>OpenBSD audita el código, y sin embargo le ha pasado desapercibido varios
>años.

Efectivamente ultimamente el patio ha estado algo movidito. No te voy a dar 
mi opinion respecto al amigo Theo XD pero ese incidente se puede ver desde 
diversas perspectivas.


>La seguridad del software, no depende del código cerrado o abierto, sino de
>que el código esté bien hecho y comprobado.

Efectivamente, estoy de acuerdo contigo, pero la fase final de comprobación 
es precisamente las más cara y costosa. Es la famosa fase de beta testing y 
para llevar a cabo una buena auditoría del código es necesaria mucha gente 
y muy buena. Lo unico que quería decir con eso era que es más facil emitir 
un parche (de hecho es una afirmación) en el caso del codigo libre (en 
general, puesto que hay productos de código propietario que si se muestran 
muy rápidos a la hora de parchear sus productos) que en el caso de código 
cerrado. Evidentemente no te vas a sentar a esperar a que alguien analice 
el código por ti, pero si es verdad que el número de desarrolladores que 
pueden colaborar en un esfuerzo así es mucho mayor en el caso del código 
libre.

Reitero lo que dije, no me parece una buena medida para un informe el uso 
del número de incidentes registrados en el CERT puesto que no demuestra 
absolutamente nada. Sin ir más lejos, ya que pones el ejemplo de OpenSSH, 
ese paquete de sw es muchisimo más robusto y muchisimo más seguro que su 
homólogo propietario. No solo eso, sino que los tiempos de reacción ante 
vulnerabilidades críticas siguen siendo muy superiores del lado de Theo. 
Así mismo no se contabiliza en dicho informe las recientes vulnerabilidades 
de Oracle sobre plataformas MS.

Salu2


www.citfi.org
www.podergeek.com
**********************************
"The further backward you look, the further forward you can see" Winston 
Churchill
"Access is GOD..."
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 222 bytes
Desc: not available
URL: <https://mailman.jcea.es/pipermail/hacking/attachments/20021128/aabd45ef/attachment.sig>

More information about the hacking mailing list