El título de este artículo es una frase de Eric Raymond en su libro La Catedral y el Bazar, y es considerado como uno de los mantras principales del open source. Desde ese momento, la ley de Linus (así la llama Eric) ha recibido toda clase de ataques, en especial que es una falacia porque la visibilidad de un error es independiente de la cantidad de ojos que miran el código, entre otras razones.
Cuando hace una semana saltó el lío del bug Heartbleed de OpenSSL (proyecto open source) y su impacto, unos cuantos (por ejemplo este usuario de Apple) no tardaron en criticar el mantra y quienes lo defienden. Si se descubre un goto fail de más en el código de iOS, andamos diciendo “jajaja, toma esa”. Pero si se descubre un bug en GnuTLS que estuvo 10 años sin descubrirse, decimos “al menos ya lo tenemos solucionado”.
Así que Eric escribió un post para dejar las cosas en claro. La ley de Linus sigue vigente tanto como antes.
Eric dice los críticos caen en el error de enfatizar demasiando en el bug que pueden ver, y no enfatizar la alta probabilidad de que una falla de seguridad que no pueden ver en un software cerrado equivalente sea peor pero sin descubrir. Cuando dice “con muchas miradas”, no se refiere a la cantidad de personas auditando sino la diversidad de supuestos. Unas cuantas personas que piensan diferente pueden ser mejor auditores que una armada que tiene una zona ciega en común.
En los últimos meses aprendí unas cuantas cosas sobre la densidad de defectos de seguridad en firmwares propietarios en los routers de internet para residencias y negocios pequeños, que rizarían sus cabellos…..Los amigos no dejan que sus amigos corran firmware de fábrica. Ustedes no quieren confiar en algo menos auditado que OpenWRT o una de sus variantes. Y sin embargo la próxima vez que aparezca una falla de seguridad en uno de esos proyectos open source veremos una repetición de esa vieja película con otro round de gente graznando que el open source no funciona. Irónicamente esto ocurrirá precisamente porque el proceso open source SI funciona, mientras en algún lado, bugs que son peores vagan entre el firmware de routers cerrado.
Y el mismo ejemplo lo aplica a Heartbleed. ¿Cual es el historial de defectos de los blobs propietarios de SSL/TLS? No se sabe. Los fabricantes no dicen nada. Y no se puede decir nada de la calidad de su código porque no puede auditarse. Tambíen destaca la rapidez a la hora de mandar arreglos. Ya en los sistemas linux hay un arreglo para Heartbleed. En sistemas propietarios el arreglo puede tardar mucho más tiempo. Y eso es porque muchos de los modelos de negocio del software cerrado requieren que las actualizaciones sean un proceso caro y de alta fricción, cubiertos de requerimientos de aprobación, tasas y restricciones legales. Acá en el open source un arreglo puede llegar en minutos porque nadie intenta ganar una renta con ello.
Yo, ya acabo de cambiar mis contraseñas en unos cuantos sitios (sólo aquellos que soportan https) además de echarle una mano monetaria. En verdad, se lo merecen.
Continúar leyendo...
Cuando hace una semana saltó el lío del bug Heartbleed de OpenSSL (proyecto open source) y su impacto, unos cuantos (por ejemplo este usuario de Apple) no tardaron en criticar el mantra y quienes lo defienden. Si se descubre un goto fail de más en el código de iOS, andamos diciendo “jajaja, toma esa”. Pero si se descubre un bug en GnuTLS que estuvo 10 años sin descubrirse, decimos “al menos ya lo tenemos solucionado”.
Así que Eric escribió un post para dejar las cosas en claro. La ley de Linus sigue vigente tanto como antes.
Eric dice los críticos caen en el error de enfatizar demasiando en el bug que pueden ver, y no enfatizar la alta probabilidad de que una falla de seguridad que no pueden ver en un software cerrado equivalente sea peor pero sin descubrir. Cuando dice “con muchas miradas”, no se refiere a la cantidad de personas auditando sino la diversidad de supuestos. Unas cuantas personas que piensan diferente pueden ser mejor auditores que una armada que tiene una zona ciega en común.
En los últimos meses aprendí unas cuantas cosas sobre la densidad de defectos de seguridad en firmwares propietarios en los routers de internet para residencias y negocios pequeños, que rizarían sus cabellos…..Los amigos no dejan que sus amigos corran firmware de fábrica. Ustedes no quieren confiar en algo menos auditado que OpenWRT o una de sus variantes. Y sin embargo la próxima vez que aparezca una falla de seguridad en uno de esos proyectos open source veremos una repetición de esa vieja película con otro round de gente graznando que el open source no funciona. Irónicamente esto ocurrirá precisamente porque el proceso open source SI funciona, mientras en algún lado, bugs que son peores vagan entre el firmware de routers cerrado.
Y el mismo ejemplo lo aplica a Heartbleed. ¿Cual es el historial de defectos de los blobs propietarios de SSL/TLS? No se sabe. Los fabricantes no dicen nada. Y no se puede decir nada de la calidad de su código porque no puede auditarse. Tambíen destaca la rapidez a la hora de mandar arreglos. Ya en los sistemas linux hay un arreglo para Heartbleed. En sistemas propietarios el arreglo puede tardar mucho más tiempo. Y eso es porque muchos de los modelos de negocio del software cerrado requieren que las actualizaciones sean un proceso caro y de alta fricción, cubiertos de requerimientos de aprobación, tasas y restricciones legales. Acá en el open source un arreglo puede llegar en minutos porque nadie intenta ganar una renta con ello.
Yo, ya acabo de cambiar mis contraseñas en unos cuantos sitios (sólo aquellos que soportan https) además de echarle una mano monetaria. En verdad, se lo merecen.
Continúar leyendo...