Heartbleed y la falta de inversiones en open source: pidiéndole peras al olmo

La repercusión que ha logrado Heartbleed es evidente, dadas las magnitudes de sus consecuencias. Ahora, es necesario considerar el contexto de la OpenSSL Software Foundation, la organización detrás del software afectado por la vulnerabilidad. Esto ayudará a lograr una mirada crítica correcta y no desviarse a conclusiones erradas; lo primero que podemos asumir es que para mejores resultados es necesario contar con más recursos.

OpenSSL, el proyecto Open Source donde se descubrió Heartbleed, no está particularmente lleno de recursos; de hecho estiman que hasta antes de lo sucedido recibían alrededor de 2.000 dólares anuales gracias a soporte comercial y donaciones. Estos ingresos se logran gracias a la OpenSSL Software Foundation, una entidad corporativa creada con la finalidad de, justamente, obtener ingresos para solventar el proyecto.

Gran parte del trabajo se realiza gracias a la vocación de desarrolladores que trabajan de forma desinteresada, manteniéndose en los ideales del proyecto. De acuerdo al miembro de OpenSSL Steve Marquess, “esta gente no trabaja por dinero. Tampoco lo hacen por fama, (¿quién fuera de los círculos de geeks escuchó hablar alguna vez de OpenSSL hasta que Heartbleed salió en las noticias?). Lo hacen por el orgullo que les trae llevar a cabo su oficio y por la responsabilidad que tienen por aquello en lo que creen”.

La realidad que vive OpenSSL es moneda corriente en una gran cantidad de proyectos Open Source. Es habitual ver cómo buscan de todas las formas posibles conseguir recursos para llevar a cabo su trabajo, ya que no cuentan con grandes cantidades de dinero o un gran equipo de desarrolladores. Existen iniciativas pensadas para beneficiar este tipo de proyectos (como el Google Summer of Code), pero no son muchos.

Continuando con el análisis, es necesario considerar un dato más: los licenciamientos “estilo Apache licence” (es decir, licencias que permiten que el código Open Source pueda utilizarse con fines económicos) han estado en aumento, dando más lugar a que empresas miren con buenos ojos este tipo de proyectos para utilizarlos en sus desarrollos.

Se puede ver este incremento en el siguiente gráfico de Technology Innovation Management Review:

TIMReview_January2013_Asay1
En resumen, hay gran cantidad de adopción de proyectos Open Source, pero como se percibió previamente, no todos tienen un financiamiento sólido.

La frase “no se le puede pedir peras al olmo” es conocida popularmente por aplicarse cuando se pide llevar a cabo algo imposible. Entonces, siguiendo la analogía, no se puede pedir que un proyecto como OpenSSL trabaje como uno con más recursos y dedicación total de gran cantidad de desarrolladores. Pedirle ciclos de pruebas veloces y constantes o revisiones de código con la misma eficiencia que tienen otros desarrollos más grandes o mejor financiados no es posible. Y el problema no es de OpenSSL.

Para exigir sistemas seguros y saludables, es necesario invertir en ellos con frecuencia. Como dijo el desarrollador que codificó las líneas que produjeron la reconocida vulnerabilidad: “Es afortunado que sea usado por millones de personas, pero sólo unos pocos contribuyen con el proyecto”.

A raíz de los estragos que causó Heartbleed, se armó una iniciativa conocida como Core Infrastructure Initiative, administrada por Linux Foundation, para que grandes empresas como Microsoft, Facebook y Google inviertan en Open Source. Se trata de una buena noticia que sin dudas significará un avance y traerá mejoras.

Pero no nos queda más que preguntarnos: ¿era necesario llegar hasta un punto como este para que se comenzara a considerar la contribución en este tipo de proyectos?

Créditos imagen: ©Julie, Dave & Family/Flickr
 

Autor , ESET

Síguenos