Las auditorias de seguridad no son precisamente baratas, así que tenemos que saludar como una buena noticia la decisión de la Comisión Europea de evaluar la seguridad del gestor de contraseñas KeePass y el servidor HTTP Apache, ambos excelentes proyectos de software libre. El análisis de código y detección de posibles vulnerabilidades será llevado a cabo dentro de la UE-FOSSA: una iniciativa con un presupuesto asignado de 1 millón de euros que tiene como objetivo garantizar la seguridad de proyectos clave open source.
Comentarios
Como usuario que justo estos días se estaba planteando utilizar KeePass meneo con muchísimo gusto.
#1 En la empresa en la que trabajo lo hemos utilizado hasta hace no mucho y, mi jefe, que es un enfermo con el tema de la seguridad, ha decidido cambiarlo. Creo que con eso, te digo bastante
#13 ¿Y por qué lo ha cambiado? Con "por qué" pregunto tanto por qué razón como por qué otra herramienta.
#14 La razón exacta no la sé. Pero seguro que tiene que ver con temas de seguridad. Debe ser que no le daba mucha confianza el sitio. Hemos cambiado a Last Pass, que la verdad no sé qué tiene de diferencia
Keepass o algo equivalente es imprescindible hoy en día para la gente que no usa la misma contraseña en todos los sitios. Además tiene versiones para todos los sistemas. Anda que no lo uso veces ni nada para acceder desde el teléfono a cualquier cosa en caso de apuro.
Una buena noticia y un buen uso para fondos públicos. Para todo el que no conozca KeePass es un gestor de contraseñas que va muy bien, con muchas opciones y complementos interesantes.
El dinero que se gasta la UE en I+D va directamente a empresauros incompetentes. Os lo dice uno que firma horas como un descosido dedicadas a otras labores.
Yo uso KeePass2 y estoy muy contento con el mismo. Si lo auditan, mejor que mejor
Apache, aunque lleve años sin una vulnerabilidad crítica en su core, si el proyecto se extiende a la auditoría de sus módulos (mod_ssl, mod_fcgi, ...) es una gran noticia.
En cambio, antes que auditar KeePass, en mi opinión, hay proyectos mucho más críticos como pueden ser OpenSSL, OpenSSH o el propio Kernel.
Y eso del keepass no es una lata de usar cada vez que quieras entrar a una cuenta en alguna web o desde otro ordenador o dispositivo?
¿Para cuando la auditoría del IIS?
#3 Parece que eso fue el año pasado:
http://www.itworld.com/article/2931215/security/microsoft-lets-eu-governments-inspect-source-code-for-security-issues.html
#9 Porque dices que no tienen acceso al código? Goto #4
#3 ¿Si no tienen acceso al código como lo van a auditar?
Uso ambos así que gran noticia.
ya de paso que auditen al gobierno de españa
El software libre ya es auditado por la comunidad. Si hay gente que quiere más auditorías para esas aplicaciones que hagan un crowdfunding y las paguen ellos mismos. Es absurdo que una administración pública tenga que auditar esas aplicaciones. Como siempre, servirá para regalar dinero a una empresa amiga
#12 Desde el momento que la administración pública es usuaria de ese software es tan comunidad como cualquier otro usuario individual o cualquier otra empresa.
Y por su tamaño, la AAPP es la primera interesada en la seguridad de ese software sobre el que despliega buena parte de sus servicios. Por tanto, la auditoría de software libre por parte de la AAPP no sólo es pertinente sino que es recomendable.
Y de hecho se hace, a menor escala y no de forma tan pública, en cualquier auditoría que cualquier AAPP encargue dentro del ciclo de vida de sus servicios desplegados sobre SL.