OpenBSD crea un fork de OpenSSL: LibreSSL

El desastre en torno a Heartbleed no solo ha levantado ampollas en Internet en general y en el mundo del Open Source en particular, también ha generado reacciones como esta que os contamos: nace LibreSSL, un fork esterilizado de OpenSSL mantenido por la comunidad de OpenBSD.

Theo de Raadt, líder del proyecto OpenBSD, ha sido una de las voces más beligerantes para con el bug que hizo arder la Red hace un par de semanas, acusando a los desarrolladores de OpenSSL de irresponsables y haciendo público ahora LibreSSL, el que será el reemplazo de marras en OpenBSD y, si lo aceptan, en otros sistemas tipo UNIX.

Como decimos, el código de OpenSSL no ha sido tomado tal cual, sino que ha recibido un hachazo importante por parte del equipo comandado por Raadt, que por el momento y en adelante, trabajan en la primera versión estable de LibreSSL.

Con todo, no es causa directa de Heartbleed esta decisión. Al parecer un proyecto similar estaba entre los planes de desarrolladores de OpenBSD…, y una cosa llevó a la otra. Y tienen razones fundadas para actuar así, a pesar de que cargar con la culpa a OpenSSL no es justo tampoco.

Dice Steve Marquess, cofundador y presidente de OpenSSL, que “el misterio no es que algunos voluntarios con exceso de trabajo hayan cometido un error. El misterio es por qué no ha ocurrido más a menudo“. No estarían de acuerdo con él en OpenBSD, desde luego, ya que su opinión es que sí pasa a menudo -de ahí el fork-, pero atendiendo a las quejas de Marquess… ¿no deberían los organismos internacionales controlar y asegurar económicamente desarrollos tan cruciales como éste?

BSD Heartbleed LibreSSL OpenBSD OpenSSL

Dan Rulos
todo lo bueno que sea bienvenido.
C. Daniel Sanchez R.
Finalmente los dos son proyectos OpenSource, entre ellos pueden compartir todo el código que quieran.
Aunque en un inicio la postura de OpenBSD me pareció un poco tonta… luego de ver las razones que tienen, son más que fundamentadas: Si mandas parches, y no los aplican, algo hay que hacer, y un flok es la forma menos problemática de solucionar un problema de ese estilo.
- NexusLM
  Creo lo mismo además como explica quien hizo el fork, si no aceptan simples parche como este es impensable que quieran quitar parches tan obsoletos de código no mantenido como los de compatibilidad con visual C++ 5.0 que solo representan posibles problemas de seguridad adicional. Además es la misma queja que hicieron los programadores de Libreoffice y es que el viejo código de Sun Microsystems no es de muy buena calidad y no está bien comentado por lo cual su mantenimiento es muy difícil para nuevos programadores por lo cual a pesar de ser libre no goza de los beneficios de opensource.
Ds23yTube
Esto me recuerda a lo de OpenOffice y LibreOffice.
- roader
  O a Wayland y Mir.
  - roader
    O a Upstart y systemd.
    - roader
      O a ubuntu y linux mint
      - Ds23yTube
        Bueno, dije OpenOffice y LibreOffice por lo de Open y Libre, pero si hablamos de caso parecidos, habrán miles. Aunque está claro que los motivos son muy diferentes.
      - roader
        El de Wayland y MIR es exactamente el mismo , canonical daba unos parches y Red Hat les decia “Ahora no , cuando el mercado de Smartphones este completamente saturado si”.
      - Ds23yTube
        Se podría decir que sí, pero lo de OpenSSL es por temas de seguridad …etc. Aunque las disputas por lo parches siempre es lo mismo. Pero en este caso lo que está en juego es la seguridad.
        Veremos en que acaba en todo esto, si solucionan OpenSSL o por el contrario LibreSSL logra cuajar le toma el testigo.
      - roader
        En un mundo ideal , ambos son usados de manera mas o menos equivalente , que es la mejor manera de mantener el desarrollo a todo trapo.
      - Mejor que lo haga con MIR
        ¿Y qué tiene que ver Wayland con Red Hat? ¡Qué complejo canonicaliano!
        Por otra parte, ¿más desinformación imaginaria astronáutica? Los vendedores de motos quemadas empezaron a desarrollar MIR a puerta cerrada mientras les esperaban en Wayland.
        Afortunadamente Google está ahí y funciona.
      - roader
        Se supone que empezaron a crear MIR , que no es mas que realmente utiliza los mismos protocolos que Wayland , porque no aceptaban los parches que querian para adaptarlo a moviles.
      - Mirage
        No. se supone que desarrollaron Mor porque wayland tenia falencias que no llenaban sus requerimientos. cosa que luego se demostró era falsa, wayland cumplía con todo lo que pedían y sus supuestas falencias fueron desmentidas en menos de 2horas. la verdadera razón de la existenciade mor es meramente político, ni técnico ni practico. político.
      - Jakeukalane Milegum Firisse
        *carencias.
      - NexusLM
        Infórmate antes de comentar, Mir no usa el protocolo wayland, Mir no es un protocolo sino un API y lo de los problemas con los móviles es tan falso que SailfishOS usa wayland y está a la venta mientras Mir sigue sin ser claro cuando saldrá al mercado.
        Si les preocupaba tanto ese tema debieron hacer un fork de wayland/weston y no habría problemas, pero prefirieron tirar a la basura todo el esfuerzo de una gran parte de la comunidad y salir con algo improvisado y pretender que todos los programadores del resto del ecosistema iba a están totalmente complacidos en duplicar su trabajo solo porque ellos así lo quisieron.
      - roader
        Estoy diciendo lo que dice canonical , y si , Mir es una API , pero se supone que trabaja sobre los protocolos de Wayland . Todo esto segun canonical , como bien sabe cualquiera que haya leido mis comentarios sobre este tema , mi opinion es muy distinta.
      - NexusLM
        Mir no es un Fork de Wayland, si lo fuera no existiria la polemica, son dos desarrollos totalmente distintos el uno es un protocolo mientras que Mir es una API, por eso la interoperabilidad es nula, ese es el problema.
      - Jakeukalane Milegum Firisse
        Ubuntu, Mint es todavía una degradación más:
        Debian>>> Ubuntu >> Mint
    - Jakeukalane Milegum Firisse
      Ganador systemd, pero siempre he leído muchas críticas de la intromisión en el userland para todo. En cambio de upstart no he leído las típicas críticas desprestigiantes de tipo técnico hacia todo lo que hace Canonical.
    - eliotime3000
      O a Firefox y Iceweasel.
  - Jakeukalane Milegum Firisse
    Ganador: Wayland, pero Mir responde a una necesidad concreta.
- Jakeukalane Milegum Firisse
  Ganador: Libreoffice por poco.
Mauricio Ghiorzi
Al parecer hoy mismo incluyeron el parche de la polémica.
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
- diazepan
  este link es el correcto.
  https://rt.openssl.org/Ticket/Display.html?id=2167&user=guest&pass=guest
Yam
pero porque no aportar al desarrollo del proyecto original y mejorarlo en vez de iniciar uno nuevo… Nunca entendere esto, en este mundo del open source….
- roader
  Las mejoras de uno se backportean al otro , hasta el momento , OpenSSL era practicamente el unico protocolo SSL usado en la web . La fragmentacion es mala , pero el monopolio es peor , en un monopolio , la tecnologia no avanza , como mucho , cambia.
  - Eduardo Medina
    Díselo a OpenOffice cuando estaba bajo Sun, años y años sin evolucionar un ápice.
    Desde que LibreOffice y OpenOffice se dan hostias la ofimática Open Source ha ganado muchísimo, tanto que muchas empresas por mi zona han jubilado el MS Office por OpenOffice.
- juanpurplefox
  Como bien dijeron, hasta el momento era la única solución para SSL. Por un simple error se puso en riesgo la seguridad de todos los servidores que usaran SSL.
  Teniendo 2 opciones, el impacto de un error en alguna de las 2 sería mucho menor.
  Sin contar que la competencia ayudaría a que se mejore la solución actual.
- Otto Swanstaiger
  Porque OpenSSL jamás aceptará esas contribuciones. Por un lado, existen diferencias profunda en la filosofía de desarrollo de los hackers de OpenBSD con respecto a los desarrolladores de OpenSSL. Por otro lado, durante la semana pasada se removió todo el código multiplataforma de libressl, junto a muchos de los módulos controvertidos; es obvio que la gente de OpenSSL jamás aceptaría algo así.
  Nótese que libressl si será multiplataforma en algún punto (si hay interés), pero con un enfoque muy distinto al de OpenSSL.
Claudio Ramirez
curioso que un proyecto llamado “open” tenga que usar un nombre con la palabra libre jaja alguien hasta podria pensar que tiene algo que ver con la FSF. En mi opinion deberian dejarse de nombres como openEsto o libreLoOtro y empezar a usar nombres mas serios (siempre que no sea algo tan estupido como mariaDB LOL)
- roader
  Es que libre su usa mucho mas actualmente que Free por que es confuso , la mayoria de la gente lo entiende por gratuidad ,como pasa con LibreOffice o Linux-libre ¿Para cuando LibreBSD?
  - Ds23yTube
    LibreBSD ya existe, se llama FreeBSD
    - roader
      No me sigues …
      - Ds23yTube
        Ah ok , xD
    - Novedoso
      ¡Ño!, libre de libertad, no gratis :v
      Saludosos.
      - Ds23yTube
        Ehhh?? Por qué me explicas algo que ya sé??
- Jakeukalane Milegum Firisse
  positivo sólo porque mariadb es un nombre estúpido.
Diego Silberberg
Ningún organismo internacional debería controlar este tipo de desarrollos, salvo un analisis cada cierto tiempo, unos meses por ejemplo y en caso de encontrar problemas graves, actuar. Lo que si deberían hacer es financiarlos.
En lugar de subsidiar a compañías petroleras y saqueadoras podria invertirse en cosas utiles para todos.
- MetalByte
  Me expresé mal, maña me explico.
pillabichos
¿Que organismos internacionales (o multinacionales) controlarán openssl? A ver si va a ser peor el remedio que la enfermedad
staff
“¿no deberían los organismos internacionales controlar y asegurar económicamente desarrollos tan cruciales como éste?”
¿Cómo cual? No conozco ningún organismo capaz de algo así, y crear uno seria mucho mas problemático.
Lo que debiera pasar, es que cada país incentive económicamente los proyectos de SoftwareLibre que utilice, aunque sea con un mínimo porcentaje de lo que se ahorran en las licencias.
Mucha migración pero como apoyo.
Domingo Gómez
Este fork es necesario en los tiempos que estamos viviendo. Los últimos errores de OpenSSL están humillando la fortaleza de seguridad del Software Libre.
Jorge
Y luego va a salir otro tipo renegando de LibreSSL y va a proponer StallmanSSL y así sucesivamente, es la peor forma de desarrollo que he visto, en GNU/Linux les encanta reinventar la rueda miles de veces.
DELTOYA
A río revuelto ganancia de pescadores: “los de OpenSSL son unos irresponsables, pero nosotros somos la solución”.
synflag
Una pregunta un tanto retorica, si los organismos…. la NSA metio ese bug, o se aprovecho de el, como quieran, pero lo hizo, entonces que preguntan pavadas?.
Me parece excelente que saquen un fork de openssl, y seria bueno que como paso con mysql, que ahora todos usan mariadb, usaran libressl, seria genial, asi, seria un punto menos por los organismos de control, si, que nos controlan, como la NSA.
Noxein
Esto quiere decir que LibreSSL sera una “roca sin fallos de seguridad o errores”?
Jorl
«¿no deberían los organismos internacionales controlar y asegurar económicamente desarrollos tan cruciales como éste?»
Una especie de organización ISO para estos menesteres, no? Estaría bien, pero los gobernantes suelen ser verdaderos analfabetos tecnlológicos y están más interesados en los asuntos bancarios y comeciales. Ahí sí que regulan a placer, pero esto, que les supera pro todas partes porque casi ninguno tiene ni idea, pues lo dejan en manos privadas y a ver qué pasa, que ponerse a estudiar y a buscar buenos asesores para crear instituciones reguladoras, y más si son internacionales, que hay que negociar con gente de otros países y tal, es “mu cansao”…

OpenBSD crea un fork de OpenSSL: LibreSSL

Lo último

Suscríbete gratis a MuyLinux

Gracias, recibirás un correo para confirmar tu suscripción.