Algunos argumentos comunes son:
Verdadero o Falso: Más escrutinio significa más seguridad:
Esta afirmación se resumen en "Cuantos más ojos vean el código, mayor probabilidad de descubrir fallos, y por lo tanto solucionarlos", lo que signfica menos problemas de seguridad.
En otras palabras a más ojos revisiando el código fuente en términos de testeos, revisiones, auditorías, y debugs, se traslada directamente a incrementar la robustez de el software. Esta es una verdad incuestionable. Pero el argumento "Los proyectos Open Source generalmente son más seguros porque el código está disponible (y por lo tanto más revisado)" no siempre es cierto.
No todo el software se crea de la misma manera, aplicaciones como Apache y Samba reciben una gran cantidad de revisiones (público y privado) y pequeñas aplicaciones que no son tan activamente mantenidas puede que no.
Simplemente porque el código fuente esté disponible, no signfica que alguien lo revise. Y lo mismo ocurre con los sistemas comerciales.
Verdadero o falso: La responsabilidad y el soporte dan más seguridad.
El principal argumento de los
De ahí que el pensamiento general derive en que si se encuentra algún fallo o malfuncionamiento en software comercial, existe una única entidad donde a quien podremos presionar para que lo solucionen, actualizar o conseguir el soporte requerido. El mismo argumento desde la perspectiva del Open Source es que es "menos seguro" al no existir ninguna relación contractual.
¿Pero cual es la realidad de las anteriores afirmaciones? En algunos casos, desarrolladores Open Source proporcionan soporte de pago en proyectos que mantienen para usuarios que los necesitan, en otros casos, afiliaciones por terceras partes entran en juego proporcionando soporte de herramientas open source. Y es que, éste es uno de los múltiples modelos de negocio del software libre.
Mi experiencia me dice que los grandes proyectos Open Source, reciben un gran apoyo y soporte por la propia comunidad, una mención especial merece el software de proxy-cache squid, su lista de correo es una de las más activas que he conocido donde los principales desarrolladores contestan el 98% de las preguntas cuestionadas aprendiendo no sólo características del propio software, si no tambien conceptos de redes, seguridad, sistemas operativos y netetiqueta. Con este software he recibido mejor soporte que con algún otro comercial que no mencionaré.
Verdadero o falso: Más actualizaciones significan más seguridad
"Liberalo pronto, liberalo a menudo", es el enfoque de algunos proyectos Open Source, la filosofía de estos es que en cuantro un agujero de seguridad es encontrado se haga público inmediatamente para que los adminstradores de sistemas y administradores de red puedan corregir rápidamente o estén alerta de posibles problemas de seguridad, aquí podriamos mencionar la lista bugtraq donde decenas de avisos de seguridad de todo tipo de software aparecen diariamente. En cambio la filosofía en el software comercial es mantener los problemas en secreto tanto tiempo como sea posible (algo que no es muy común si eres usuario de la lista bugtraq), y liberar actualizaciones en periodos de tiempo fijo, algo que va en contra de la propia naturaleza del desarrollo.
Los administradores de sistemas, preferimos el primer enfoque, si conoces el problema que tiene algúno de nuestros sistemas, podremos tomar alguna medida preventiva, o monitorizar para que no se aprovechen de ese fallo, sólo ocurrirá durante pocos días, porque luego ya tendrás disponible un parche o nueva versión corrigiendo el fallo.
¿Qué elegiríais, Open Source o Software Comercial?
Adaptado de la fuente original.
No hay comentarios:
Publicar un comentario