18 de noviembre de 2008

Despejando mitos sobre la GPL y el SL 7 de 18

Además, el código fuente de los programas privativos no siempre permanece secreto. En octubre del 2000, la red de Microsoft fue penetrada por crackers. Steve Ballmer le aseguró a la prensa que el código fuente de sus productos de Windows no había sido cambiado, pero declaró, "Queda claro que los hackers vieron algo de nuestro código fuente."*4* Crackers, empleados deshonestos e incluso los problemas de seguridad de socios corporativos y clientes pueden todos llevar a la divulgación del código fuente del software privativo.

Este mito se discute en mayor detalle en el capítulo 4 del libro Construyendo Software Seguro (Building Secure Software).

Mito #4: Si quieres software seguro, no deberías confiar en el software libre, ya que es escrito por personas no confiables, y no ha sido auditado por una fuente confiable.
La implicación de este mito es que el software no-libre es escrito por personas de confianza, y que ese sí podría estar auditado. Mientras que muchas organizaciones de desarrollo pueden querer pensar que su personal es de total confianza, la realidad de la industria de la seguridad es que no se debe confiar totalmente en los desarrolladores de software. Además, muchas organizaciones de desarrollo tienen procedimientos inexistentes o inadecuados para auditar la seguridad del software.

En los recien pasados años, varias puertas traseras desconocidas para la dirección fueron encontradas en aplicaciones de comercio electrónico privativas, incluyendo un caso bastante publicitado donde una puerta trasera fue encontrada en Microsoft FrontPage 98. Similarmente, muchos desarrolladores desperdician el tiempo y los recursos de su compañía programando "huevos de pascua" no autorizados, tales como el juego de pinball en Microsoft Word, o el simulador de vuelo en Excel.

Al menos cuando el código fuente está disponible, aquellas organizaciones que se preocupan mucho por la seguridad pueden pagarle a auditores de confianza calificados para hacer el trabajo. Sin el código fuente, existen muchas menos fuentes confiables para auditar debido a las habilidades extra requeridas. Adicionalmente, con los proyectos de software libre, siempre hay la esperanza de que auditores independientes revisarán el código sin remuneración, por cualquiera que sea la razón (la teoría de "muchos ojos"). Comunmente, dichos auditores estarán buscando el reconocimiento de sus pares.

*4* El artículo de la BBC Microsoft Software Stolen (Software de Microsoft Robado) está disponible en
http://news.bbc.co.uk/hi/english/business/newsid_993000/993933.stm

No hay comentarios.: