Historias
Slashboxes
Comentarios
 

La Linux Foundation financiará el desarrollo de OpenSSL

editada por nettizen el 29 de Abril 2014, 06:29h   Printer-friendly   Email story
Un pobrecito hablador nos cuenta: «Tras el enorme fallo de seguridad que supuso Heartbleed, (listado de sitios afectados), se puso de manifiesto que la gestión del proyecto no se estaba realizando de la manera correcta. ¿Cuáles han sido las soluciones?. El proyecto OpenBSD afirma que el problema es la incompetencia manifiesta de los programadores de OpenSSL, y por ello sólo hay una solución: crear un fork y limpiar el código creando LibreSSL. La Linux Foundation cree que es un problema de financiación, y por ello acaba de anunciar la creación de la Core Infrastructure Initiative (CII) junto con una docena de las mayores compañías tecnológicas del mundo: Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace y VMware. Cada compañía donará a la Linux Foundation un mínimo de 100.000 dólares al año, durante un mínimo de tres años. También se admiten pequeñas donaciones de particulares vía PayPal. La intención del proyecto es dar apoyo económico a proyectos Open Source que se hayan convertido en elementos críticos de la infraestructura global de telecomunicaciones. Y el primer proyecto beneficiado será OpenSSL. La Linux Foundation presenta su iniciativa como algo similar al papel que tienen ahora pagando a Linus Torvalds para que pueda dedicarse de manera plena al desarrollo del Kernel. Tras la publicación del fallo de Heartbleed, el proyecto OpenSSL se defendió alegando que con su nivel actual de recursos económicos sólo podían mantener a un programador a tiempo completo. Pocos días después, las donaciones de particulares al proyecto OpenSSL aumentaron. Mentes nuevas o más dinero, ¿cuál será la solución más efectiva? Más opiniones en Reddit.

Historias relacionadas

[+] Heartbleed, un enorme fallo de seguridad 63 comentarios
Un pobrecito hablador nos cuenta: «Un enorme fallo de seguridad que permite penetrar en ordenadores para recuperar código y contraseñas ha sido descubierto por un informático de Google y afecta a OpenSSL, usado por la mitad de los sitios web del mundo; o por casi dos de cada tres servidores según The Verge. En FoxIT comentan que este fallo está presente desde hace dos años y permite recuperar información de los servidores de diferentes formas. FoxIT da algunos procedimientos para contrarrestar los ataques. Más información en HeartBleed.com/. Según The New York Times se podrían haber recuperado ya contraseñas de Yahoo! y Tumblr empleando esta vulnerabilidad. Puedes probar la seguridad de tu sitio web en http://filippo.io/Heartbleed/. ¿Y tú, estabas de vacaciones estos últimos dos años en lugar de revisar el código de OpenSSL y avisarnos del fallo?»
[+] BoringSSL: Google crea su propio fork de OpenSSL 23 comentarios
Un pobrecito hablador nos cuenta: «El culebrón de OpenSSL no termina. Tras la hecatombe de
Heartbleed, la inyección de dinero de la Linux Foundation y el fork LibreSSL, Google anuncia (por boca de uno de sus desarrolladores) la creación de su propio fork de OpenSSL, que pasará a denominarse BoringSSL. Google justifica su decisión en que el enorme número de parches (más de 70 en la actualidad) que necesitan para ajustar OpenSSL a sus necesidades en Android y Chrome hace que les resulte más fácil mantener un fork propio (sobre el que prometen que integrarán las mejoras que surjan tanto en OpenSSL como en LibreSSL) que rehacer y aplicar sus parches cada vez que se publica una nueva versión de OpenSSL. BoringSSL se licenciará bajo licencia ISC.»
[+] Linux Foundation, patrocinador PLATINUM de OpenBSD 3 comentarios
Hace un mes comentaba en mi bitácora el dato curioso de que Microsoft financiara a la fundación OpenBSD. Hoy descubro (gracias a The OpenBSD Journal) que la Linux Foundation, a través de la Core Infraestructure Initiative, ha contribuido a la campaña de financiación 2015 de la fundación OpenBSD con una aportación todavía superior a la de Microsoft: más de 50000 dólares. La Core Infraestructure Initiative es una idea de la Linux Foundation, en colaboración con las mayores compañías tecnológicas del mundo (Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft,... ) para dar apoyo económico a proyectos Open Source que se hayan convertido en elementos críticos de la infraestructura global de telecomunicaciones (visto en Barrapunto). Y el primer proyecto beneficiado fue OpenSSL; ahora le toca a OpenBSD. Excelentes noticias para OpenBSD, que a principios de 2014 veía peligrar su existencia por falta de fondos, y que aporta a la comunidad software tan imporante como OpenSSH.

Más opiniones en Hacker News.

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • mentes nuevas vs. más dinero

    (Puntos:3, Informativo)
    por pobrecito hablador el Martes, 29 Abril de 2014, 07:37h (#1359362)

    Mentes nuevas o más dinero, ¿cuál será la solución más efectiva?

    Parece ser que estás planteando una falsa disyuntiva, ya que del texto de la noticia parece inferirse que para lo que se usaría el dinero sería precisamente fichar "mentes". Te cito:

    Tras la publicación del fallo de Heartbleed, el proyecto OpenSSL se defendió alegando que con su nivel actual de recursos económicos sólo podían mantener a un programador a tiempo completo.
  • Yo conozco la historia de BSD, conozco las distros que descienden de aquel sistema operativo (incluyendo Mac OS X), y conozco OpenBSD en particular aunque prefiero FreeBSD. Pero, ¿cuánta gente conoce a OpenBSD?.

    Digo ésto por el enfoque que tiene OpenBSD de salir a la palestra y decir "Hola, soy OpenBSD, digo que OpenSSL es una mierda y que a partir de ahora mejor me encargo yo, así que donadme dinero ya" es un enfoque que si no conoces de antemano a OpenBSD apesta a estafa que un desconocido te pida dinero. Me recuerda a los anuncios la ONG Anesvad, en que el anunciante tenía la caradura de ponerse una careta de Diana Spencer (cuando ella todavía vivía, aclaro) y decir, "¿qué pasa, que si te lo pide ella sí que donas dinero?". Apestaban a estafa... y sorpresa sorpresa, resultaron ser una estafa. OpenBSD, majos, os tengo aprecio... pero cuando se hace un anuncio público no sólo hay que preocuparse de lo que se es sino también de lo que se parece.

    La Linux Foundation es un organismo más adecuado por su relevancia, y además la solución que aporta es integral porque no contempla solamente OpenSSL sino todo aquello que sea esencial. Creo que esta reacción del mundo de la programación libre ante la vulnerabilidad Heartbleed es una reacción sólida que demuestra que es un bando ganador.

  • Algo positivo de todo esto

    (Puntos:3, Interesante)
    por stuka75 (46489) el Martes, 29 Abril de 2014, 10:17h (#1359370)
    Parece que las organizaciones que sacaban partido del software libre se han dado cuenta de que no pueden usar esas piezas de código tan crítico y no aportar nada, sea dinero o personal, de vuelta al proyecto aunque sólo sea por su propio bien.
  • Más gente

    (Puntos:2, Interesante)
    por pobrecito hablador el Martes, 29 Abril de 2014, 11:36h (#1359375)
    Este tipo de errores se evita metiendo a más gente, que a su vez supone invertir más dinero. Pero da igual cuánto le pagues al único programador de la biblioteca, si no ve el error porque ha mirado mil veces al código y ya no lo lee con la atención necesaria para verlo, no lo va a ver de todos modos. Este es el típico error de "esto lo está llevando solo este tío y ha sido así durante los últimos n años". Me parece patético cómo salta la gente a llamar "monos" a los programadores (programador) de OpenSSL por dejar ese bug cuando ellos mismos han cometido ese mismo error mil veces (si es que son programadores siquiera).
  • El emperador está desnudo

    (Puntos:4, Interesante)
    por pobrecito hablador el Martes, 29 Abril de 2014, 08:15h (#1359365)

    El nuevo traje del emperador [wikipedia.org]

    Leer el artículo de incompetencia manifiesta [peereboom.us] ha sido consolador. Cada vez que he intentado hacer algo con openssl (línea comandos) me ha costado Dios y ayuda, la documentación me pareció que era caótica, las opciones mal organizadas. He necesitado hacer una par de llamadas al la librería, y al final tuve que usar el "copia y pega" haciendo un acto de fe porque no entendía mucho.

    El tema del cifrado y certificados puede ser complejo, pero las tareas sencillas debían poderse hacer de una manera más sencilla. OpenGL también es algo complejo pero una tarea sencilla es sencilla. En todo momento me pareció que la documentación era escasa, mal organizada, o inexistente, y la poca que había era poco compresible. Me parecía increíble que un software de tanta difusión e importante no estuviera bien documentado. Pero no me atreví a quejarme, si no doy la talla, no doy la talla, como voy a osar quejarme de un software tan consagrado. Y probablemente es cierto que no doy la talla, pero se ve que incluso para la gente preparada es caótico.

    ¿Cómo está tantos años así? "Es una librería que sólo los inteligentes la entienden, por tanto, no reconoceré que no la entiendo". Así piensan todos, y así lleva años.

    [ Padre ]
  • por pobrecito hablador el Martes, 29 Abril de 2014, 11:32h (#1359374)
    Pero vamos a ver... ¿no han encontrado el fallo? Y sí, lo encontraron porque tenían el código disponible. Si crees que este tipo de fallos no existe en software cerrado y fuertemente financiado es que te has perdido los últimos 30 años de la historia de la seguridad informática. El código público no es una garantía de que no va a haber bugs, bugs hay siempre. Es garantía de que podemos buscar y corregir los fallos nosotros mismos.
    [ Padre ]
  • 3 respuestas por debajo de tu umbral de lectura actual.