El Gran bug encontrado en OpenSSL (Heartbleed) genero gran incertidumbre, ahora muchas empresa privadas y gubernamentales se preguntan "Puedo confiar en el Software Libre y en el Open Source".
Las empresas y las agencias gubernamentales podrían haber utilizado sistemas propietarios para asegurar sus sistemas, pero OpenSSL les dio una opción gratuita y más seguro. OpenSSL es completamente sin fondos, es utilizado por las empresas que hacen un montón de dinero, pero casi ninguna de las empresas que lo utilizan aporta nada en absoluto. Según el sitio web del proyecto, solo cuenta con un desarrollador de tiempo completo el Dr. Stephen N. Henson, un programador británico, ademas con tres llamados programadores voluntarios de base.
OpenSSL ha operado con un presupuesto anual muy reducido de 2.000 dólares en donaciones, que es justo lo suficiente para que los voluntarios cubran sus facturas de electricidad. Hace cinco años, Steve Marqués, un consultor de tecnología para el Departamento de Defensa, fue alcanzado por la contradicción que OpenSSL era usado por cientos de empresas, y sin embargo nadie involucrado 100% en el proyecto estaba ganando ningún dinero, luego al encontrarse con el Dr. Henson, dijo el señor marqués, "El Dr. Henson estaba trabajando en el código OpenSSL a dedicación plena, pero a cambio estaba muriendo de hambre", así que el señor marqués comenzó la Fundación OpenSSL con el objetivo de conseguir fondo para los programadores del proyecto.
Google y Cisco dicen que contribuyen al fomentar sus propios ingenieros para buscar errores en el código mientras se encuentran en el reloj. La página web OpenSSL muestra que un ingeniero de Cisco y varios ingenieros de Google han descubierto errores y correcciones creado en los últimos años.
Un ingeniero de Google, Neel Mehta, descubrió el bug Heartbleed a principios de este mes, y otros dos ingenieros de Google se le ocurrió la solución.
Del mismo modo, Microsoft y Facebook crearon la iniciativa Bounty Bug Internet, que paga a los ingenieros que responsablemente revelan fallos en los sistemas más utilizados, como OpenSSL. El grupo pagó al señor Mehta 15,000 dólares por su descubrimiento - un golpe de suerte que él donó a la Libertad de la Fundación Nacional de Prensa. Pero los defensores del código abierto dicen que las organizaciones que se basan en el código deberían hacer más para ayudar, no solo premiar a lo que encuentren fallas.
"El código abierto no es el polvo de hadas mágico" que ocurre de forma automática, dijo Tim O'Reilly, de los primeros defensores del código abierto y el fundador de O'Reilly Media. "Esto sucede porque la gente trabaja en ello."
Por lo menos, los expertos en seguridad dicen, las empresas y los gobiernos deben pagar por auditorías de código regular, sobre todo cuando la seguridad de sus propios productos depende de la fiabilidad del código.
"Ellos deben tomar más responsabilidad por todo lo que envían en su producto", dijo Edward W. Felten, profesor de ciencias informáticas en la Universidad de Princeton.
Hubo algunas buenas noticias esta semana. El señor marqués dijo que después Heartbleed ayudó a exponer los escasos recursos del proyecto OpenSSL, el grupo recibió $ 17,000 en donaciones, casi en su totalidad de individuos fuera de los Estados Unidos. La donación individual más alta fue de $300; la más baja fue de 2 centavos de dólar.
Pero no había ningún problema, que él dijo: "Por desgracia, los 2 centavos fueron donados a través de PayPal, y PayPal tomaron ambos."
Solo queda preguntar: Si OpenSSL era tan importante para tantas paginas en internet, empresas y organizaciones publicas y privadas, por que tan poco apoyo, acaso pasara lo mismo con los demás proyectos GPL.
Angel J. Reynoso
kp01
Tel.: 829-997-4870
kp01aj@gmail.com
kp01
Tel.: 829-997-4870
kp01aj@gmail.com
No hay comentarios:
Publicar un comentario