Jul 21 2008
O software livre é mesmo inseguro?
Um relatório publicado pela consultora de segurança Fortify afirma que as empresas devem ter muito cuidado na adopção de software livre e que este software tende a não ser seguro. Para chegar a estas conclusões, analisaram 11 das mais populares aplicações livres desenvolvidas em Java (Jboss, OpenCMS, etc).
Há aqui um ou dois pontos a reter. O primeiro é que todo o software é susceptível de ter falhas de segurança. Isto é tão certo como necessitar-mos de oxigénio.
Segundo ponto: 11 aplicações dificilmente serão suficientes para poder generalizar tanto esta questão. Para além destas aplicações, existem muitas mais usadas no sector empresarial - MTAs, sistemas operativos, clientes de email e browsers são só uns exemplos.
Terceiro. Como todo o software é uma possível fonte de problemas de segurança, é imperativo corrigir essas falhas. Aqui, o software livre está mais bem posicionado que o software proprietário, porque, como tem o código disponível, é mais simples corrigir o problema do que esperar que a empresa criadora da aplicação proprietária o corrija, se é que o chega a corrigir ou corrigir correctamente.
Quarto ponto: como o código-fonte do software livre está disponível, mais olhos o verão. E como diz o ditado «Many eyes make all bugs shallow»; que é como quem diz «Muitos olhos tornam todos os bugs irrelevantes», ou seja, muitos olhos vêm muitos bugs e corrigem-nos ou reportam-nos a quem os pode corrigir.
Eu olho com alguma desconfiança para este relatório, pelas razões acima mencionadas. Se o software livre fosse mesmo tão inseguro como a Fortify alega no seu relatório, acham que os sistemas livres correriam na maioria dos super-computadores ou que o software livre teria a reputação de ser estável e seguro? E vocês; acham que este relatório tem razão de ser, é FUD ou apenas algum desconhecimento dos métodos de desenvolvimento do software livre?
Planet Geek
