A fondo: ¿Cómo de seguro es el software open source?

Iniciado por wolfbcn, 29 Mayo 2016, 14:13 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

¿Hay fundamentos para la eterna lucha entre software propietario y de código abierto? ¿Es diferente su nivel de seguridad? Varias empresas de la industria tecnológica debaten con Silicon.es sobre estas cuestiones.

¿Software propietario o software open source? Los argumentos a favor y en contra de cada una de estas opciones se han ido amontonando con el paso de los años de la mano de usuarios, creadores y opinadores en general. Su precio ha marcado el debate. Así como el soporte. El mantenimiento. Su estabilidad. Su rendimiento. Su funcionalidad. La compatibilidad. La flexibilidad. La libertad. La fiabilidad. Su calidad. Y, muy importante, su seguridad. Una de las cuestiones sobre las que se ha incidido con especial insistencia es aquella que plantea si las garantías de seguridad de estas dos clases de software, tradicionalmente enfrentadas, son las mismas. La afirmación acerca de que las prácticas de desarrollo más cerradas también son las más seguras, en comparación con aquellos entornos donde existe mayor libertad de movimientos y la participación de diferentes miembros de la comunidad, se ha convertido en un mito que en la actualidad está superado a medias.

Podría pensarse que los prejuicios son cosa del pasado, pero cada vez que un programa de código abierto se cuela entre los activos de una empresa o en el ámbito de la Administración Pública se genera sorpresa. Que en ciertas instancias opten por lo open basta para hablar de bombazo. ¿Por qué? ¿Puede entrañar riesgos esta decisión? ¿Están justificados los recelos de algunas personas acerca del software abierto? "Con respecto a la seguridad del software abierto, los miedos son comprensibles por el posible desconocimiento de los mecanismos de protección existentes, pero no están justificados: el software abierto puede ser tan seguro o más que el software propietario", afirma en declaraciones a Silicon.es Rafael Godinez, Solution Architects Manager de Red Hat Iberia. "El nivel de seguridad ofrecido por un conjunto de programas no depende exclusivamente del modelo de desarrollo del mismo", apunta Godinez. La pauta que ha marcado su desarrollo no garantiza que un tipo de software sea "más seguro que otro creado" de forma distinta. De hecho, "todo el software, independientemente de como haya sido desarrollado, está expuesto a vulnerabilidades y fallos ocultos".

LEER MAS: http://www.silicon.es/a-fondo-como-de-seguro-es-el-software-open-source-2309642
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

PalitroqueZ

un software open source debería ser más seguro, porque hay más gente viendo el código y corrigiendolo, cosa que en el caso privado no ocurre.

en el caso privado (y en mi opinión), los fallos de seguridad lo veo reflejado en mal.wares y v 1r us, o en aquellos casos en donde un buen samaritano se digna a publicar el fallo en la espera que sea retribuido su "descubrimiento".

existen software privativo que en verdad dan pena, porque en vez de sacar actualizaciones, sacan son puros parches.....
"La Economía planificada lleva de un modo gradual pero seguro a la economía dirigida, a la economía autoritaria y al totalitarismo" Ludwig Erhard

#!drvy

Citarun software open source debería ser más seguro, porque hay más gente viendo el código y corrigiéndolo, cosa que en el caso privado no ocurre.

Eso es una falsa idea que se crea la gente.. Que sea open source no significa que todo el mundo va a estar mirando a ver que hace. Un proyecto puede tener miles de lineas e infinitas librerías incluso de terceros.. como que alguien va a estar dedicando su tiempo de gratis .. sobre todo si el software es poco conocido.

Creéis por ejemplo, que todo el código que trae una distribución como Ubuntu o Debian o cualquier otra medio famosa, es revisado a fondo ? El ShellShock que afecto a bash, existía desde 1989 y nadie se dio cuenta hasta 2014 .. que son 25 años.

En muchos casos, el software privado de una empresa es revisado mucho mas a fondo que el software open source. Y es que, que el código este disponible, no significa que sea mas seguro porque no hay nadie que se dedique a revisar código de apps open source las 24 horas del día de gratis..

Y en cierto sentido, es normal que una organización publica se decante por el software privado.. así si hay algún error o problema, hay también un culpable y se pueden exigir compensaciones.. vete tu a culpar a un desarrollador open source de un bug critico cuando la licencia de su software dice claramente en las primeras lineas:

CitarTHE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,

Saludos

Orubatosu

Pues hasta donde sé, las empresas privativas te venden el software "como es" sin derecho a ningún tipo de compensación por daños, perdidas, lucro cesante o lo que sea.

Me recuerda una escena, creo que de un libro donde un demonio envía al infierno una copia del EULA de Windows al infierno con una nota que dice "aprender pringados"
"When People called me freak, i close my eyes and laughed, because they are blinded to happiness"
Hideto Matsumoto 1964-1998

Yuki

#!drvy Yo personalmente difiero con tus argumentos, es verdad que software open source no siempre va a ser revisado, pero como dice el usuario Orubatosu; las empresas privadas te venden el software como ellos quieren, es preferible tener la certeza de que si creés que el software te perjudica, podes revisar el código fuente.

Los software open source generalmente son mejor desarrollados, ya que el desarrollador principal sabe que su software o código va ser utilizado por terceros, de otra manera no crearia dicho programa.

#!drvy

#5
CitarPues hasta donde sé, las empresas privativas te venden el software "como es" sin derecho a ningún tipo de compensación por daños, perdidas, lucro cesante o lo que sea.

No cuando se hace bajo un contrato con un organismo publico o una empresa importante. Comprarlo tu mismo bueno.. pero un organismo no lo compra por la cara.

Citares preferible tener la certeza de que si creés que el software te perjudica, podes revisar el código fuente.

Hay muchas formas de tener la certeza de que no te perjudica sin la necesidad de revisar el codigo fuente.

CitarLos software open source generalmente son mejor desarrollados, ya que el desarrollador principal sabe que su software o código va ser utilizado por terceros, de otra manera no crearía dicho programa.

La mayoría del software open source es una bazofia comparado con software privado. Ejemplo de ello tienes en la mayoría de los programas comerciales hoy en día y sus respectivos competidores "open source". Y es mas, el argumento de "el desarrollador sabe que su software o código va a ser utilizado por terceros" se aplica en ambos casos..

Saludos

MinusFour

Cita de: PalitroqueZ en 29 Mayo 2016, 15:28 PM
un software open source debería ser más seguro, porque hay más gente viendo el código y corrigiendolo, cosa que en el caso privado no ocurre.

Para algunos proyectos solamente, no todo lo que se desarrolla de forma abierta recibe más gente que proyectos realizados de forma cerrada y viceversa. La única diferencia es que el código desarrollado abiertamente no pone ninguna restricción sobre quien puede ver el código, por lo que el proyecto puede potencialmente ser revisado por quien quiera contribuir al proyecto. La realidad es que no hay mucha gente por cada proyecto desarrollado de forma abierta.

Cita de: #!drvy en 29 Mayo 2016, 15:40 PMUn proyecto puede tener miles de lineas e infinitas librerías incluso de terceros.. como que alguien va a estar dedicando su tiempo de gratis .. sobre todo si el software es poco conocido.

No es estar dedicando tiempo de forma gratuita, a menos que no estes utilizando el software. Si tu haces una revisión de seguridad sobre el software no solo estás contribuyendo al proyecto, obviamente estás contribuyendo a la seguridad de tu proyecto. Tu tiempo se compensa con los beneficios de seguridad.

Cita de: #!drvy en 29 Mayo 2016, 15:40 PMCreéis por ejemplo, que todo el código que trae una distribución como Ubuntu o Debian o cualquier otra medio famosa, es revisado a fondo ? El ShellShock que afecto a bash, existía desde 1989 y nadie se dio cuenta hasta 2014 .. que son 25 años.

Esto simplemente es una comparación muy injusta, no puedes esperar que una distribución haga una auditoría de todos los paquetes que distribuye. Es responsabilidad de cada uno de los proyectos individuales de cubrir los fallos de seguridad y es responsabilidad de la distribución ofrecer las actualizaciones lo más pronto posible. La distribución simplemente permite la distribución de los paquetes (como su nombre lo indica) y facilita su uso.

Se dieron cuenta de ShellShock después de 25 años, sí. ¿Crees que no hay fallos de seguridad que lleven años en software privado? Peor aún es que nadie se ha topado con ellos. Y peor aún es que reportando el fallo de seguridad, el desarrollador no sabe donde está el error o se reuse a corregirlo.

Cita de: #!drvy en 29 Mayo 2016, 15:40 PMEn muchos casos, el software privado de una empresa es revisado mucho mas a fondo que el software open source.

Y viceversa.

Cita de: #!drvy en 29 Mayo 2016, 15:40 PMY en cierto sentido, es normal que una organización publica se decante por el software privado.. así si hay algún error o problema, hay también un culpable y se pueden exigir compensaciones..

Realmente puedes contratar la empresa/desarrollador del software y puedes establecer tus demandas. Lo único es que se tiene que respetar la licencia del código. Si alguien hace una contribución publica, la contribución tiene que pertenecer en el dominio público a menos que el autor exprese lo contrario (y mucho va a depender de la licencia). Encima, acusar y buscar compensaciones tienen poco que ver en cuanto a seguridad, quizás en seguridad financiera pero el tema no va sobre eso.

Orubatosu

No creo que existan generalidades en estos casos. Algunos softwares privativos son auténticos coladeros. Recordemos el "Flash" que tiene tela. Los de Open Source también pueden tener problemas de seguridad.

El pretender decir "este es mejor que este otro" es simplemente algo que hacen los "periodistos" sin mucha idea de lo que hablan. En estos casos se debe de mirar uno por uno dentro de las alternativas disponibles para su uso.

Tampoco es cierto que todo el software "Open Source" esté mantenido exclusivamente por "aficionados" o "por la cara"

Oracle es la dueña de MySql, y si quieres un sistema mas escalable o una herramienta mas "tocha" te la venden (y no son baratas). Si has desarrollado tu sistema a partir de las versiones GPL y necesitas mas, a pasar por caja. Ejemplos como ese no son raros.

Son formas diferentes de hacer las cosas, no tiene mas. Algunos proyectos de código abierto serán castañas y otros serán mejores que sus contrapartidas comerciales y viceversa.
"When People called me freak, i close my eyes and laughed, because they are blinded to happiness"
Hideto Matsumoto 1964-1998

Bundor

La "noticia" generaliza tanto que no tiene sentido.

PalitroqueZ

yo sigo sosteniendo que el open source es más seguro, sin importar cuanta gente se dedique a ello.

porque la diferencia radica, en que si quieres utilizar un determinado software, en open source basta con mirarle las entrañas al código y ya sabes a lo que te enfrentas, en cambio en el software privativo, debes "confiar" en lo que te diga el fabricante.

"La Economía planificada lleva de un modo gradual pero seguro a la economía dirigida, a la economía autoritaria y al totalitarismo" Ludwig Erhard