Las auditorias de seguridad no son precisamente baratas, así que tenemos que saludar como una buena noticia la decisión de la Comisión Europea de evaluar la seguridad del gestor de contraseñas KeePass y el servidor HTTP Apache, ambos excelentes proyectos de software libre.
El análisis de código y detección de posibles vulnerabilidades será llevado a cabo dentro de la UE-FOSSA: una iniciativa con un presupuesto asignado de 1 millón de euros que tiene como objetivo garantizar la seguridad de proyectos clave open source, para evitar que se repitan incidentes como los de Heartbleed y Shellshock, perjudicando todo tipo de servicios públicos, entre ellos los de la Unión Europea.
La duda surge siempre a la hora de establecer cuales son esos proyectos críticos y por donde deberíamos empezar. Para ello la Dirección General de Informática de la Comisión Europea (DIGIT) hizo una preselección que sometió posteriormente a una encuesta pública que recibió más de 3200 votos.
Me llama la atención el tercer puesto de VLC, un excelente reproductor multimedia (posiblemente el mejor) pero del que no creo que dependa la seguridad en internet o algo por el estilo. Y que aparece justo por delante de Linux y con muchos más votos que otros proyectos como Drupal, Git, Filezilla, MySQL, openSSH, signal, wordpress, PHP, Tor Browser, openSSL, Firefox… La democracia está sobrevalorada que diría Frank Underwood, por lo menos en el software libre.
El segundo puesto del administrador de contraseñas KeePass se entiende mejor, a fin de cuentas es un programa al que mucha gente le confía la gestión de todas sus claves mediante una única contraseña maestra y una debilidad en su cifrado podría causar graves problemas.
Y con el servidor HTTP Apache, pocas dudas al respecto. Estamos hablando del servidor web más utilizado a nivel mundial desde hace casi 20 años, con millones de sitios dependiendo del.
El equipo de UE-FOSSA contactará con los desarrolladores de los dos proyectos seleccionados: Keepass y Apache Server HTTP, para contar con su implicación mientras se desarrolla la revisión de código.
Fuente: joinup | Portal GDA | lamiradadelreplicante
