La semana pasada todas las alarmas saltaron cuando se publicó un grave fallo de seguridad llamado Heartbleed en la librería criptográfica OpenSSL, que utilizan tanto una gran parte de los servidores en Internet así como mucho software de seguridad.
Como no podía ser de otra manera, las teorías conspiracionistas hablan de este bug introducido o abusado desde hace tiempo por la NSA. Lo que sí está claro es que este bug deja en evidencia que el software Open Source no es más seguro si nadie lo mira (se ha tardado dos años en identificar este fallo!!!!) y si no se siguen unas prácticas de desarrollo seguro.
Desconozco si el equipo de OpenSSL utiliza algún marco de desarrollo seguro, pero que un solo programador pueda realizar cambios al código sin ningún tipo de validación ¿? es un error mucho más grave que el propio bug.
Sin duda es un duro golpe a la comunidad Open Source que se suele presentar como más seguro, ya que cualquiera puede ver el código. Este fallo demuestra que solo por ser código abierto no es garantía suficiente.
No me cansaré de repetirlo: da igual que seas software Open Source o software comercial, que tu empresa solo desarrolle software de uso interno o que tengas un ISV que te desarrolla a medida, siempre se necesita un marco de desarrollo seguro como el MS SDL, BSIMM o OpenSAMM.
Esperemos que este bug sea una llamada de atención para todo el que desarrolle software sobre la importancia de la seguridad e invertir en ella.
Y puedo confirmaros que este bug funciona a la perfección 😉
¿Qué opinión te merece este bug?
— Simon Roses Femerling