La Comisión Europea auditará KeePass y Apache

gato_auditando

Las auditorias de seguridad no son precisamente baratas, así que tenemos que saludar como una buena noticia la decisión de la Comisión Europea de evaluar la seguridad del gestor de contraseñas KeePass y el servidor HTTP Apache, ambos excelentes proyectos de software libre.

El análisis de código y detección de posibles vulnerabilidades será llevado a cabo dentro de la UE-FOSSA: una iniciativa con un presupuesto asignado de 1 millón de euros que tiene como objetivo garantizar la seguridad de proyectos clave open source, para evitar que se repitan incidentes como los de Heartbleed y Shellshock, perjudicando todo tipo de servicios públicos, entre ellos los de la Unión Europea.

La duda surge siempre a la hora de establecer cuales son esos proyectos críticos y por donde deberíamos empezar. Para ello la Dirección General de Informática de la Comisión Europea (DIGIT) hizo una preselección que sometió posteriormente a una encuesta pública que recibió más de 3200 votos.

auditoria-porcentajes

Me llama la atención el tercer puesto de VLC, un excelente reproductor multimedia (posiblemente el mejor) pero del que no creo que dependa la seguridad en internet o algo por el estilo. Y que aparece justo por delante de Linux y con muchos más votos que otros proyectos como Drupal, Git, Filezilla, MySQL, openSSH, signal, wordpress, PHP, Tor Browser, openSSL, Firefox… La democracia está sobrevalorada que diría Frank Underwood, por lo menos en el software libre.

El segundo puesto del administrador de contraseñas KeePass se entiende mejor, a fin de cuentas es un programa al que mucha gente le confía la gestión de todas sus claves mediante una única contraseña maestra y una debilidad en su cifrado podría causar graves problemas.

Y con el servidor HTTP Apache, pocas dudas al respecto. Estamos hablando del servidor web más utilizado a nivel mundial desde hace casi 20 años, con millones de sitios dependiendo del.

El equipo de UE-FOSSA contactará con los desarrolladores de los dos proyectos seleccionados: Keepass y Apache Server HTTP, para contar con su implicación mientras se desarrolla la revisión de código.

Vía | joinup

12 thoughts on “La Comisión Europea auditará KeePass y Apache”

  1. Iván Bethencourt says:

    Una noticia de mucha relevancia y alcance para el software libre. Nadie puede ignorar ya la relevancia estratégica del software libre.

  2. Anónimo says:

    ¿Pero KeePass es KeePassX y KeePass2? ¿Engloba a ambos?

    1. Nasher_87(ARG) says:

      ¿Cual es la diferencia entre los tres?

      1. Anónimo says:

        Tres no, creo que son dos solamente. O yo al menos siempre he visto KeePassX y KeePass2. Por eso pregunto si al auditar KeePass significa que en realidad auditan ambos, o cómo.

        No sé qué diferencias hay entre ellos, pero alguna debe de haber, está claro.

        1. Anonymouse says:

          KeePass2 es el nombre del KeePass oficial v2 (porque todavia es posible bajar la v1 debido a compatibilidad) que usa otro formato al guardar (kdbx) que la versión anterior(kdb) y KeePassX fue al principio el port a linux antes de que la oficial lo tuviera. La versión que va a ser auditada debería ser la 2 pero seguramente KeepassX se beneficiara de cualquier mejora al código.

    2. tannhausser says:

      La diferencia de código es sustancial entre ambos proyectos, incluso están programados en lenguajes diferentes.

      Diría que KeePass2, pero creo que eso no lo saben a ciencia cierta los de la Comisión Europea, que plantearon la encuesta.

      Aquí los resultados completos en una hoja de cálculo

      https://joinup.ec.europa.eu/sites/default/files/eu-fossa_software_choice_survery_results_v1.1.ods

      Y de su selección de candidatos, me hace dudar de su conocimiento de los proyectos de software libre existentes, o de aquellos que precisan más o menos auditorías.

      Por ejemplo el tomar Linux como un todo es una locura. Les llevaría siglos auditarlo XD

  3. pepe says:

    Quien habrá votado notepad?

    En realidad la democracia está sobrevalorada. Es cosa de ver las últimas elecciones

  4. x-man says:

    Pues muy buena noticia, yo soy de los que usa KeepassX, para administrar todas mis contraseñas, que incluye banco y demás, un voto mas de confianza después de esta auditoria si todo sale bien, tal vez esto de un impulso mas a KeeepassX, que esta necesitando tener toda las características y funcionalidades del original Keepass, me refiero a su apariencia, botones de funciones y otras ventajas del original, que se puede usar también en GNU/Linux pero su apariencia no es muy buena en KDE, es algo que seguiré de cerca, porque realmente es muy útil.

    1. dcsfsedvsvsv says:

      Ves, a mi me pasa al reves en XFCE, me tuve que poner KeepassX porque Keepass2 tenia un aspecto horrible.

  5. uri says:

    Interesante lista y buena iniciativa del DIGIT. Que Apache aparezca entre los dos finalistas me parece un buen resultado. Sobre la duda del articulista con respecto a la tercera posición de VLC, solo señalar la importancia de incorporar un reproductor multimedia (que admite radio, podcast y emisiones de otros medios) que se presenta sin anuncios y que dice no espiar ni rastrear a sus usuarios. Quizá no sea el único pero sus más de 38 millones de descargas creo justifican su inclusión.

  6. victorhck says:

    En ese pastel hay un buen montón de software libre!!
    Al software privativo ¿quién lo audita? Nos tendremos que fiar de sus empresas… claro porque iríamos a pensar mal… ¬¬

    Saludos!!

    PS: Mola el gatico!! 🙂

    1. tannhausser says:

      Es el primo hacker de Nyan Cat 🙂

Deja un comentario