Alan Cox advierte que muchos proyectos libres no son seguros

Alan Cox
Richard Thurston cubre en c|net la charla de Alan Cox en la LinuxWorld Conference & Expo 2006 de Londres en la cual advierte que se están invirtiendo grandes sumas de dinero en hallar como hackear sistemas open source.
Cox dice que “cosas que aparecen en los medios, como que el software libre es más seguro, más fiable, y tiene menos errores, son afirmaciones muy peligrosas”.
Cox se basa en el hecho de que los analistas refieren sus estudios exclusivamente proyectos maduros y muy populares, pero una muestra de 150 proyectos de SourceForge daría resultados muy diferentes.
Yo creo no se puede hablar de software más seguro o menos seguro en general, sino que hay que tener en cuenta los siguientes hechos:
1º) Ningún software es intrínsecamente más seguro por ser abierto. Si el código está disponible, pero nadie lo mira no lo testea, puede tener exactamente la misma tasa de errores por mil líneas de código tanto si el fuente es abierto como cerrado.
2º) Ningún software es seguro hasta que no pasa una auditoría de seguridad. Esto es porque las pruebas de uso rutinarias no sirven para detectar agujeros de seguridad que sólo son cognoscibles poniendo en sistema bajo unas condiciones de uso en las cuales nunca se penso originalmente que estuviese.
3º) Cuando los analistas dicen que el Software Libre es “más seguro” que el propietario, se refieren a una comparativa de productos equivalentes, en madurez, base instalada y grado de pruebas efectuadas.
4º) Incluso si en la situación de partida un software abierto no es más seguro que su contrapartida propietaria, la disponibilidad del fuente hacen factibles una serie de pruebas y auditorías de seguridad imposibles de realizar con programas cuyo fuente no está disponible.
Artículo relacionado: Cox demonstrates political nature of open source (Dana Blankenhorn)
Actualización: The Truth About Open Source Security (Ed Moyle)

Compartir:
  • Twitter
  • Meneame
  • Facebook
  • Google Buzz
Esta entrada fue publicada en Tecnologías Libres. Guarda el enlace permanente.