"Los Contras del Codigo Abierto"

Rodrigo Fuentealba the.code.keeper en gmail.com
Mie Jun 11 14:23:43 CLT 2008 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Victor Hugo dos Santos escribió:
> 2008/6/11 David Aravena <david.aravena en gmail.com>:
>>> No veo el problema.  Es obvio que hay una vulnerabilidad y que eso es
>>> malo.  Esto no es exclusivo del software libre;

Más bien, parece ser una regla del software.

>>> el software comercial
>>> también sufre de estos problemas.

De otra forma, no existirian los service packs de windows.

>> Alvaro,
>>
>> Si tienes razón pero quiero ir más allá, esto es "dos años" más allá
>> desde que el paquete está marcado como "estable"

No existe forma alguna de saber si un paquete tendra problemas de
seguridad o no. La auditoria de paquetes debe ser constante, y como
regla general, no usar nada que este desactualizado en un periodo largo.

>> pero aun así quiza
>> falta una instancia de control más potente.

¿Que mejor auditoria que la que proviene de los usuarios? Si un problema
de seguridad se descubre, el usuario debe reportar ese problema de
seguridad. Por lo demas, OpenSSL es algo totalmente no trivial.

> no seas ingenuo !!
> que el software diga "estable", significa en el mejor de los casos que
> esta libre de problemas conocidos y/o bugs detectados desde las
> versiones alpha, beta y/o RC !!!

Decidir si un paquete es estable o no es, al menos en mi experiencia, un
verdadero cacho, porque implica que en el mejor de los casos las
bibliotecas de las que dependen los paquetes entren en un estado de
produccion y esto no es sincronizado.

En Slackware cuando mantenia PHP, debia esperar a que GCC y el Kernel no
tenga problemas reportados de hardware y memoria, que pase un tiempo
para saber si otras distribuciones han encontrado problemas con ese
kernel y si las ultimas versiones estables de cada biblioteca utilizada
por PHP funcionan adecuadamente.

No, nada de esto es trivial, considerando que aparte de la
funcionalidad, debe haber licenciamientos compatibles, ver que dice el
jefe, coordinar con los otros packagers...

> ve por ejemplo, "Oracle Unbreakable", realmente era "Unbreakable" ???

Nada lo es. Repito: la inseguridad es una regla del software.

> y por mas riguroso que sean las pruebas, los testes y duendes mágicos
> que revisan los códigos.. siempre estarán propenso a problemas, sea
> hoy, dentro de un mes o dentro de 5 anos !!!!
> 
> el tema acá, es como se aborda la solución, cuanto tiempo se demora y
> la transparencia hacia los usuarios.

Correcto.

- --
Rodrigo Fuentealba
Concepción, Región del Bío-Bío, Chile
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkhQGC4ACgkQoqmdUrqLMt2VvgCfRYlCrvWlwhq/LztCBxcPnghI
izMAoJSswZbq2n4XWRPqYQxYzKJWDNRM
=xfww
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Linux