Amb moltes mirades, tots els errors saltaran a la vista

El títol d'aquest article és una frase d'Eric Raymond en el seu llibre La Catedral i el Basar, I és considerat com un dels mantres principals de l'open source. Des d'aquest moment, la llei de Linus (així la flama Eric) ha rebut tota mena d'atacs, especialment que és una fal·làcia perquè la visibilitat d'un error és independent de la quantitat d'ulls que miren el codi, entre altres raons.

Quan fa una setmana va saltar l'embolic de l'informe d'error Dolorós d'OpenSSL (projecte open source) i el seu impacte, uns quants (per exemple aquest usuari d'Apple) No van trigar a criticar el mantra i els que el defensen. Si es descobreix XNUMX goto fail de més en el codi de iOS, caminem dient «jajaja, pren aquesta». Però si es descobreix un error en GnuTLS que va estar 10 anys sense descobrir-se, Diem «a el menys ja el tenim solucionat».

Així que Eric va escriure un post per deixar les coses en clar. La llei de Linus segueix vigent tant com abans.

Eric diu els crítics cauen en l'error de emfatitzar demasiando en l'informe d'error que poden veure, i no emfatitzar l'alta probabilitat que una falla de seguretat que no poden veure en un programari tancat equivalent sigui pitjor però sense descobrir. Quan diu «amb moltes mirades», no es refereix a la quantitat de persones auditant sinó la diversitat de supòsits. Unes quantes persones que pensen diferent poden ser millor auditors que una armada que té una zona cega en comú.

En els últims mesos vaig aprendre unes quantes coses sobre la densitat de defectes de seguretat en firmwares propietaris en els routers d'internet per a residències i negocis petits, que rizarían seus cabells ... ..Els amics no deixen que els seus amics corrin firmware de fàbrica. Vostès no volen confiar una mica menys auditat que OpenWRT o una de les seves variants. I no obstant això la propera vegada que aparegui una falla de seguretat en un d'aquests projectes open source veurem una repetició d'aquesta vella pel·lícula amb un altre round de gent clacant que el codi obert no funciona. Irònicament això passarà precisament perquè el procés codi obert SI funciona, mentre en algun costat, bugs que són pitjors vaguen entre el firmware de routers tancat.

I el mateix exemple l'aplica a heartbleed. ¿Quin és l'historial de defectes dels blobs propietaris de SSL / TLS? No se sap. Els fabricants no diuen res. I no es pot dir res de la qualitat del seu codi perquè no pot auditar-se. Tambíen destaca la rapidesa a l'hora de manar arranjaments. Ja en els sistemes linux hi ha un arranjament per heartbleed. En sistemes propietaris l'arranjament pot trigar molt més temps. I això és perquè molts dels models de negoci del programari tancat requereixen que les actualitzacions siguin un procés car i d'alta fricció, coberts de requeriments d'aprovació, taxes i restriccions legals. Aquí a l'open source un arranjament pot arribar en minuts perquè ningú intenta guanyar una renda en aquestes tasques.

Jo, ja acabo de canviar els meus contrasenyes en uns quants llocs (només aquells que suporten https) a més d'ajudar-lo monetària. En veritat, s'ho mereixen.


13 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   marcs va dir

    per això no convé ser un «fan d'un exclusiu sistema operatiu» tots els sistemes tenen les seves falles
    l'únic que canvia és la filosofia de com enfrontar els problemes

    http://i.imgur.com/UOFAbqy.jpg

    1.    Alejandro va dir

      em va encantar la imatge, que pena que no puguin votar els comentaris

      1.    Nell va dir

        Podien posar com a sistema de comentaris Disqus.

        1.    eliotime3000 va dir

          El dolent de Disqus és que el seu sistema de gestió d'usuaris realment pobre, a més que no es pot monitoritzar els comentaris des de quin correu electrònic usen o des de quina IP 's provenen aquests comentaris.

    2.    eliotime3000 va dir

      Hi ha un error en la imatge: en les actualitzacions de GNU / Linux, el que té de bo és que les actualitzacions, en general, no són una barbaritat de MB com és el cas de Windows i Mac. A més, el Windows Update, com a gestor d'actualitzacions, és simplement decebedor.

    3.    userGNU / Linux va dir

      El problema sóc jo; el problema som nosaltres els que fem servir aquests artificis d'enginy sense si més no comprendre el que són i el que fan realment, no tots poden aprendre a programar, però uns pocs programadors d'entre els que hi ha poden fer la diferència.
      Vas llegir el diàleg, quan per primera vegada vas carregar el SO GNU / Linux i vas introduir la teva clau d'usuari. «Sobre el Poder i la Responsabilitat». Això és el que fan els bons desenvolupadors, quan posen l' «codi font» d'aquests artificis a lliure disposició.

  2.   Ronin va dir

    Sento que el problema d'OpenSSL també és un problema de la comunitat ja que s'hauria d'haver auditat millor el codi ja que aquest és obert i estic 100% en acord amb l'opinió que és mes segur un codi obert ja que al menys un pot arribar a conèixer els errors de naixement de la mateixa mentre el privatiu un no sap que tan segur o insegur pot arribar a ser.

    1.    eliotime3000 va dir

      El problema no és necessàriament la comunitat d'OpenSSL, el problema en realitat és que la mateixa comunitat no ha exhortat que actualitzin la versió d'aquest programari com a prioritat principal per a totes les distros.

      I per cert, de la branca 1.0.0 i la 0.9.8, a més de la versió 1.0.1g han estat les versions en les quals no es van veure afectades per aquest error.

  3.   usemoslinux va dir

    molt bon article!

  4.   eliotime3000 va dir

    Sort que van actualitzar el OpenSSL en distros com Debian GNU / Linux (per cert, ben lleugera), però en Windows, arriba una barbaritat de 800 MB (el dolent és que són els mateixos pegats de sempre i mai són específics com els de les distros GNU / Linux).

    En fi, vaig pensar que l'error era d'ell mateix SSL i no de l'OpenSSL (si fos de l'AES o de l'WPA-PSK, la història seria una altra).

  5.   vidagnu va dir

    Molt d'acord, en els sistemes tancats poden haver-hi molts problemes de diversos anys que desconeixem i que delinqüents poden estar usant per robar, i el pitjor és que quan es detecten i denuncien triguen una eternitat a solucionar-ho.

  6.   kAoi97 va dir

    Interessant

  7.   userGNU / Linux va dir

    Open source o codi obert s'obté automàticament el màxim benestar social. Codi tancat; expressió de la capacitat de recerca de l'propi interès benefici d'uns pocs a costa de les dependents. Em fa riure relacionar això amb la idea econòmica d'Adam Smith «la mà invisible», que per cert considero molt contradictòria.