Tenia intención de dejar que este asunto pasara al olvido como pasa normalmente, hasta que alguien me eneñó el artículo de LWN "Arch Linux and (the lack of) package singing". Esto me obligó a escribir este post, ya que está lleno de mentiras, mentiras, y más mentiras.
[Continuo aqui, que esto es tope largo y no me deja ponerlo en un solo mensaje ]
Un intento de que los más racionales prevalecieran:
"On Sat, Feb 19, 2011 at 12:00 AM, IgnorantGuru jgj7.pacmandev@mailnull.com wrote:
[.... blablabla....]
Denis: Aqui no hay ningun problema político, sólo falta de mano de obra para hacerlo. Eso es todo. Esto es una comunidad open source normal, y las cosas sólo se mueven cuando hay interés personal."
Y una cita de Allan que se ha divulgado como si demostrara que es anti-firmas:
"Como ya dije, en realidad no me afecta. Uso el servidor principal para las descargas de la base de datos de los repos y sé exactamente qué actualizaciones esperar ya que veo todas las contribuciones a los repos svn. Así que la posibilidad de ser atacado es muy baja, y estoy preparado para ese riesgo. Mis prioridades son claramente distintas a las de otras personas. La clave está en que yo aporto parches para implementar lo que a mi me parece prioritario..."
Posiblemente nadie se leerá este tema entero, lo sé. Pero fijaos que Allan no sólo respondió el primero, si no que también fué el último en postear una respuesta. SI lo leeis, vereis por qué algunos de sus mails estaban quizá llenos de ira. Pero nunca despreció a nadie, o les mandó a la mierda, o le dijo nada a su madre, o se dejó vencer por la Ley de Goodwin.
Una vez más, los que más ruido hicieron en ese tema, nos dejaron sólo con la promesa de hacer los parches. Nunca volvieron. Por suerte, por lo menos Denis, ya mencionado, propuso algunos parches nuevos.
EL BOMBARDEO MEDIÁTICO
A partir de aqui, la mierda saltó por todas partes. El equipo de moderadores del foro de Arch se vió implicado en la escaramuza. IgnorantGuru empezó su cruzada con este post en un tema existente. Cerraron el lloriqueo tema que se parecia a una entrada de un blog, y que más tarde apareceria como una entrada de un blog. Entonces fuimos objeto de múltiples posts sensacionalistas que también intentó colar en reddit.
IgnorantGuru envió este "insecticida", FS#23103, pidiendo añadir sha256sums a nuestra base de datos de paquetes. Un apetición razonable que pronto degeneró en una guerra dialéctica, pero intenté enderezar las cosas contándole las normas habituales que usamos para implementar parches para pacman. Me respondió así, a lo que no respondí:
"Tienes intención de añadirlo si me tomo el tiempo de enviarlo, o me vas a hacer perder el tiempo? Lo pregunto porque hasta ahora no he encontrado más que falta de voluntad, así que no me hagas perder el tiempo. No veo por qué un parche es necesario, ya que es un añadido trivial, pero si quieres uno, lo haré encantado. Gracias."
Sorpresa, no apareció ningun parche en mi mail o en los reportes de bugs. De hecho, unos dias después hice exactamente lo que se pedia, sólo que los cambios no eran triviales con una diferencia de +12/-5 [NOTA: lo siento, no tengo ni idea de a lo que se refiere esto ]
SE ROMPE EL TRATO
Tenia intención de dejar que este asunto pasara al olvido como hace normalmente, hasta que alguien me eneñó el artículo de LWN "Arch Linux and (the lack of) package singing". Esto me obligó a escribir este post, ya que está lleno de mentiras, mentiras, y más mentiras.
Para empezar, qué vergüenza, Nathan Willis, Jonathan Corbet y LWN por permitir que se publicara. Esto no es periodismo, es propaganda alimentada por un bloguer deshonesto a quien habeis permitido crear una historia donde no la hay. Voy a refutar algunos puntos del artículo que son, sencillamente, mentira.
"El tema habia salido antes, pero nadie hizo nada por ello, y algunos de los desarrolladores principales de Arch ignoraron la cuestión por considerarla poco importante y no querer trabajar en ella personalmente."
Os desafio a que encontreis algun sitio en el que ninguno de nosotros dijera que la firma de paquetes es o era "poco importante", y que no desearamos trabajar para incluirla en el núcleo del gestor de paquetes. Lo único que remotamente se le parece, es lo que he citado previamente de Allan: no era importante para él personalmente, así que no se sentia obligado a dedicarse a ello. Este es un buen momento para volver a mi cita original del primer parche que recibimos.
Además, nos pagan por nuestro trabajo con Arch. No conozco ni un solo desarrollador clave al que se le pague para trabajar en la distro; no somos como Red Hat o Canonical. os puedo asegurar que tanto Allan como yo nos pondriamos manos a la obra si nos pagaran por hacer lo de la firma de paquetes y nos aseguraran un buen trabajo continuando Arch Linux.
"Algunos, dijo, se tomaron la cuestión en serio y mandaron parches para pacman, pero los desarrolladores principales se negaron a incluirlos"
Por favor, enseñadme en la historia detallada que he escrito más arriba, cuando pasó eso. Como no podeis, os felicito por perpetuar los rumores.
"McRae... empezó todas las discusiones del tema, y aplastó los intentos de otros para trabajar en una solución"
¿Me tomas el pelo? Te has leido si quiera la lista de correo a la que se refiere? Es evidente que no, porque si no hubieras visto lo que hice más arriba. Investigar una conversación completamente pública antes de publicar nada debe de ser opcional hoy en dia.
"En el segundo informe de bug, IgnorantGuru sugirió una solución ligera que implicaba sólo la firma de la base de datos del servidor principal... McRae replicó..."
Si los enlaces en tu artículo son correctos, te refieres a FS#23103. Lo más gracioso es que ese bug no trata sobre las firmas (solo sobre el checksum), y ni siquiera tiene un solo comentario del mencionado Allan McRae. Te pillé.
(Nota del editor: le dí a LWN 12 horas para responder a esto antes de hacerlo público. Desde entonces han cambiado el artículo, y donde ponia "segundo" ahora pone "primero", así que lo anterior ya no es válido. Para el primer bug, FS#23101, el artículo dice correctamente que "IgnorantGuru incluso propuso una solución ligera". Sin embargo, las sugerencias no producen software funcional, sólo el código produce software funcional, y no se nos mandó ni una sola línea de código en ese informe de bug).
"A continuación describe parches enviados por él mismo y otros desarrolladores de Arch, y lo que McRae y otros desarrolladores principales hicieron para que no se implementaran. Este segundo post sigue la línea del precedente, pero la discusión del tema aporta más detalles, ya que McRae se unió a él."
Enseñádme un sólo parche que nos haya enviado. No lo encontrareis.
Además, enseñadnos qué hicimos para impedir que se implementaran. No encontrareis nada.
Para terminar, rematais vuestras difamaciones sin fundamento contra Allan refiriéndoos a este "segundo post", pero sin dar ningun enlace para que vuestros lectores puedan verificar lo dicho de manera independiente.
(Nota del editor: LWN me ha corregido un poco aqui, afirmando que he malinterpretado este párrafo. El post enlazado y el "segundo post" son el mismo: la entrada en el blog de IgnorantGuru. Por último "la discusión del tema" se refiere a los comentarios en su blog, que es algo que no entiendo. Nunca imaginé que una revista pudiera citar los comentarios en un blog como una fuente fiable.)
"Por supuesto, este es el segundo nivel con el que la resistencia de los desarrolladores principales de Arch se está topando: el hecho de que deberian impedir que los parches de seguridad se incluyeran en el proyecto."
Por favor, seguid traficando con mentiras e imputaciones sin fundamento. Allan mostró su opinión, que no era muy impotante para él, y eso se interpreta ahora como un bloqueo contra cualquier intento de introducir las firmas.
Felicidades, LWN, por caer aun más bajo. No vais a ver mi dinero en mucho tiempo igual que los periodicuchos de la verduleria tampoco lo ven.
DONDE ESTAMOS AHORA
Con pacman 3.5 a la vuelta de la esquina, y el 3.6 en desarrollo, la firma de paquetes no se ha abandonado. En realidad, hay tres merges diferentes, y ya se han realizado varias revisiones de seguimiento en un código que en algunos casos tiene casi tres años.
Aun y asi, nadie ha dado un paso adelante para abordar la lista de cosas de hacer en la cuestión de la firma de paquetes. Preveo que vamos a ser Allan y yo los que tengamos que trabajar en ello, con un poco de ayuda, con suerte, de Denis, Xavier y nuestro nuevo colaborador habitual Dave Reisner. Todo se hará, pero todo necesita su tiempo, pues sólo somos voluntarios.
De hecho es la respuesta de los desarrolladores a toda la polémica.
Resumiendo para los vagos, porque el artículo es muy largo: todo ha sido un flame montado por un tio que al final parece que es un troll como una casa: es mentira que los desarrolladores de Arch no hagan caso de la gente que intenta contribuir para introducir la firma de paquetes, entre otras cosas porque nadie ha hecho nada para implementar efectivamente la firma de paquetes, y menos que nadie el tio que inició toda la polémica (aunque los desarrolladores principales llevan trabajando en el asunto mucho tiempo, ninguno tiene tiempo para impleentarlo definitivamente). Tampoco es verdad que le trataran con desprecio, ni a él ni a ningun otro que haya intentado contribuir al asunto, todo parece cosa de un artículo de LWN que se hizo eco del lloriqueo del troll sin contrastar lo que decia.
Traducción:
Esta será una lectura larga, y espero, informativa. Os recomiendo que os senteis y os pongais las gafas de leer, o mejor aun, os hagais una taza de café.
Hemos recibido muchas críticas injustificadas en el último mes en relación con la firma de paquetes, y me gustaria enfriar los ánimos, así como desmontar cierto desliz "periodístico" que provocó esta entrada en el blog. Gracias, LWN, por proveer el catalizador.
Si no quieréis conocer los antecedentes, id directamente a "El tema Prohibido"
ANTECEDENTES
Para los que lean mi blog por primera vez, yo (Dan McGee, aka toofishes), soy el actual desarrollador-jefe de pacman, y lo llevo siendo desde 2007, cuando llegué para sustituir a Aaron Griffin, quien ahora es el "jefe supremo" de Arch Linux desde que Judd lo dejó. He contribuido con el código de pacman desde 2006, así que es un software que no me resulta desconocido en absoluto.
Actualmente me ayuda otro gran desarrollador y mantenedor, Allan McRae. Empezó a trabajar principalmente con makepkg hacia mayo del 2008, pero ahora se encarga de revisar cambios en todo el código. ¿He dicho ya que se encarga de la cadena de herramientas de Arch, así como de diversos paquetes de [core]? No sé muy bien cómo lo hace.
Sé que puede sorprender, pero pacman tiene un bug tracker [sistema de seguimiento de bugs]. Uno de los cinco bugs más antiguos es FS#5331 : Signed packages [Paquetes Firmados]. Abierto en spetiembre de 2006, no tubo ningun comentario hasta julio del 2007. Cuando los comentarios empezaron, nadie produjo ningun parche, código, o nada para empezar ningun plan. El bug fué olvidado hasta marzo del 2010.
EL PRIMER PARCHE
Nos vamos hasta 2008. El 1 de junio de 2008, un dia que serà recordado con infamia, apareció en la lista de correo de pacman-dev [desarro de pacman] el primer parche que trataba la firma de paquetes.
Si navegais hasta unos mensajes más tarde, tras unas cuantas revisiones, cuando dije que el parche me parecia bien, encontareéis esta joya. Odio citarme a mí mismo, pero creo que demuestra algo que se ha ovidado en este reciente escándalo.
"A parte de eso, el parche me parece bien, he empezado a meter estos cambios en una rama local que acabará en la principal tarde o temprano. ¡Estoy deseando ver a pacman con soporte perfecto para GPG! [las famosas firmas de paquetes]"
Volveremos a ello en su momento.
Otra cosa en la que fijarse, es que la cuestión que persiste hoy en dia ya apareció entonces: ¿por qué no firmamos la base de datos?. Esto fué respondido, todo el mundo aceptó la respuesta (en aquel momento), y seguimos adelante intentando asegurarnos de arreglar el problema.
SIGUIENTES PARCHES
Lo que sucedió a continuación es muy típico tanto en el desarrollo de pacman como en el de software open-sourse en general: el colaborador original del parche mandó algunos más, dejó de responder a los requerimientos para arreglar los problemas que aun habia, y lo dejó todo en nuestras manos. No es nada agradable para el mantenedor de un proyecto que lo dejen tirado de esa manera, pero por lo menos el trabajo estaba lo bastante bien hecho como para ser asignado a una rama gpg para ser retomado más adelante.
Como suele pasar siempre que hay lios así, estábamos preparando el lanzamiento de la versión 3.2 en julio del 2008 mientras todo esto sucedia, así que los desarrolladores principales no pudieron trabajar en ello. Sin embargo nuestro desarrollador oringinal apareció otra vez para decir que seguia interesado en acabar el trabajo .¿Adivinad de quién no volvimos a saber nada?
El problema con estos parches iniciales es que representan el "trabajo fácil". Firmar un paquete como último paso de su construcción no es muy difícil, no es más que una invocación de la orden gpg. Añadir esta firma a la base de datos de pacman tampoco fué muy difícil. Pero los parches de los demás acabaron aqui, desgraciadamente. VIendo a los autores de los parches que se han intentado hacer luego sobre el original, no nos sorprende encontrar tres nombres: el mio, Allan McRae, y Xavier Chantry (otro colaborador con experiencia en pacman).
No pasó nada más hasta diciembre del 2008. Tube que ponerme serio cuando el debate dejó de producir ningun resultado. Hay una pequeña cita mia que merece ser destacada ("Dejad de hablar y empezad a codificar"), pero lo importante es que se establecieron las normas básicas para lo que debia ser un resultado satisfactorio. El enlace que le sigo enseñando a la gente también entró en escena en aquel entonces [Attacks on package managers].
Tubimos algun que otro parche y contribución en diciembre del 2008. Trabajé bastante en integrar la lectura de firmas en libalpm, meterlo en pactest, y fué (no muy) divertido.
EL PERÍODO DURMIENTE
Nuevamente, nadie trabajaba en la firma de paquetes. Se planteó brevemente en junio del 2009, y se debatió un poco, pero no se produjeron resultados. La gente seguia diciéndonos a Allan y a mí que no estaba claro hacia dónde íbamos, así que les encaminamos a la hoja de ruta de la wiki, y les pedimos que ayudaran en la edición y clarificación. Parece ser que esto es demasiado trabajo para algunos, porque desaparecian tan pronto como abrian la boca. Una vez más, los desarrolladores estaban preparando la versión 3.3, así que no teniamos mucho tiempo para ello.
En este punto, tras un año desde los primeros parches, podeis pensar que ninguno de los desarrolladores originales de pacman tenia mucho interes en implementarlo ellos mismos. Puede que sea verdad, con el giro irónico de que más de la mitad de los parches de nuestra vieja rama gpg son de los tres colaboradors originales. Creo que lo que se puede decir es que nadie queria tomar el timón y terminarlo ellos mismos. En este punto, el trabajo estaba más o menos donde está actualmente, ya que mucho del trabajo que completé en los últimos dias no era más que limpieza del código (a parte de pacman-key). Sin embargo, nunca vereis de mi o de Allan ningun asomo de una actitud en plan "aunque produzcas un buen trabajo y termines las cosas no las vamos a aceptar".
Xavier llevó a cabo una limpieza y mejora de la ya caduca rama gpg en agosto del 2009, fusionando algunos de los viejos parches de la lista de correo.
Y adivinad: otro periodo durmiente hasta abril del 2010
HISTORIA RECIENTE
El tema que resume la parte de "mucho hablar pero no hacer nada" de toda esta historia de la firma de paquetes, empezó en abril del 2010. Esta [enlace] sólo es la parte que estaba en pacman-dev, pero se inició en arch-general, se alargó hasta mayo, y cuenta con 57 mails en un tema. ¿Lo más triste? Del trabajo de firma de paquetes que hice en los últimos dias, no veo ningun parche que saliera de este período de tiempo.
Finalmente conseguimos a un colaborador que se quedó con Denis A. Altoé Falqueto desde junio del 2010 hasta ahora. Sus contribuciones no fueron muy frecuentes, pero escribió la herramienta pacman-key, que actualmente está metida en master e intentaba mantener la firma de paquetes en la lista de características en desarrollo.
Este es el primer periodo de tiempo en el que diria que les fallamos a los que querian trabajar en la firma de paquetes. No fuimos rápidos respondiendo a los parches y mandando feedback. Nótese que esto es así para todos los parches, no sólo estos. Creo que estábamos todos muy ocupados, y no teniamos ni el tiempo ni las energias de antes. Cuando trabajábamos en pacman, queriamos trabajar en cosas divertidas, más que sudar tinta repasando los parches.
EL TEMA PROHIBIDO
No me he podido resistir al titular dramático. El 18 de febrero de 2011, [Your Signature Please] llegó a nuestros correos. Tened en cuenta que:
-Es el primer mensaje del remitente a la lista de correo de pacman-dev
-El señor IgnorantGuru decidió no compartir su nombre auténtico con nosotros.
-La práctica habitual es no postear mensajes de más de 1500 palabras aprox, sobretodo en tu primer mensaje
Resulta que ese dia (viernes) estaba esquiando en Colorado, y estube ausente toda la semana. ¿Creeis que iba a perder el tiempo leyendo una novela? Ni hablar. Pobre Allan, por intentarlo le han echado a los perros por ser un negativista, y sus palabras han sido retorcidas y cambiadas en múltiples publicaciones.
Algunas citas memorables de ese tema que pronto se torció:
"Allan: Te has molestado siquiera en mirar la implementación actual?
IgnorantGuru: Leí alguna discusión sobre ello, pero no lo he mirado todo. Sinceramente me interesa menos que tener las firmas disponibles."
Comentarios
[Continuo aqui, que esto es tope largo y no me deja ponerlo en un solo mensaje ]
Un intento de que los más racionales prevalecieran:
"On Sat, Feb 19, 2011 at 12:00 AM, IgnorantGuru jgj7.pacmandev@mailnull.com wrote:
[.... blablabla....]
Denis: Aqui no hay ningun problema político, sólo falta de mano de obra para hacerlo. Eso es todo. Esto es una comunidad open source normal, y las cosas sólo se mueven cuando hay interés personal."
Y una cita de Allan que se ha divulgado como si demostrara que es anti-firmas:
"Como ya dije, en realidad no me afecta. Uso el servidor principal para las descargas de la base de datos de los repos y sé exactamente qué actualizaciones esperar ya que veo todas las contribuciones a los repos svn. Así que la posibilidad de ser atacado es muy baja, y estoy preparado para ese riesgo. Mis prioridades son claramente distintas a las de otras personas. La clave está en que yo aporto parches para implementar lo que a mi me parece prioritario..."
Posiblemente nadie se leerá este tema entero, lo sé. Pero fijaos que Allan no sólo respondió el primero, si no que también fué el último en postear una respuesta. SI lo leeis, vereis por qué algunos de sus mails estaban quizá llenos de ira. Pero nunca despreció a nadie, o les mandó a la mierda, o le dijo nada a su madre, o se dejó vencer por la Ley de Goodwin.
Una vez más, los que más ruido hicieron en ese tema, nos dejaron sólo con la promesa de hacer los parches. Nunca volvieron. Por suerte, por lo menos Denis, ya mencionado, propuso algunos parches nuevos.
EL BOMBARDEO MEDIÁTICO
A partir de aqui, la mierda saltó por todas partes. El equipo de moderadores del foro de Arch se vió implicado en la escaramuza. IgnorantGuru empezó su cruzada con este post en un tema existente. Cerraron el lloriqueo tema que se parecia a una entrada de un blog, y que más tarde apareceria como una entrada de un blog. Entonces fuimos objeto de múltiples posts sensacionalistas que también intentó colar en reddit.
IgnorantGuru envió este "insecticida", FS#23103, pidiendo añadir sha256sums a nuestra base de datos de paquetes. Un apetición razonable que pronto degeneró en una guerra dialéctica, pero intenté enderezar las cosas contándole las normas habituales que usamos para implementar parches para pacman. Me respondió así, a lo que no respondí:
"Tienes intención de añadirlo si me tomo el tiempo de enviarlo, o me vas a hacer perder el tiempo? Lo pregunto porque hasta ahora no he encontrado más que falta de voluntad, así que no me hagas perder el tiempo. No veo por qué un parche es necesario, ya que es un añadido trivial, pero si quieres uno, lo haré encantado. Gracias."
Sorpresa, no apareció ningun parche en mi mail o en los reportes de bugs. De hecho, unos dias después hice exactamente lo que se pedia, sólo que los cambios no eran triviales con una diferencia de +12/-5 [NOTA: lo siento, no tengo ni idea de a lo que se refiere esto ]
SE ROMPE EL TRATO
Tenia intención de dejar que este asunto pasara al olvido como hace normalmente, hasta que alguien me eneñó el artículo de LWN "Arch Linux and (the lack of) package singing". Esto me obligó a escribir este post, ya que está lleno de mentiras, mentiras, y más mentiras.
Para empezar, qué vergüenza, Nathan Willis, Jonathan Corbet y LWN por permitir que se publicara. Esto no es periodismo, es propaganda alimentada por un bloguer deshonesto a quien habeis permitido crear una historia donde no la hay. Voy a refutar algunos puntos del artículo que son, sencillamente, mentira.
"El tema habia salido antes, pero nadie hizo nada por ello, y algunos de los desarrolladores principales de Arch ignoraron la cuestión por considerarla poco importante y no querer trabajar en ella personalmente."
Os desafio a que encontreis algun sitio en el que ninguno de nosotros dijera que la firma de paquetes es o era "poco importante", y que no desearamos trabajar para incluirla en el núcleo del gestor de paquetes. Lo único que remotamente se le parece, es lo que he citado previamente de Allan: no era importante para él personalmente, así que no se sentia obligado a dedicarse a ello. Este es un buen momento para volver a mi cita original del primer parche que recibimos.
Además, nos pagan por nuestro trabajo con Arch. No conozco ni un solo desarrollador clave al que se le pague para trabajar en la distro; no somos como Red Hat o Canonical. os puedo asegurar que tanto Allan como yo nos pondriamos manos a la obra si nos pagaran por hacer lo de la firma de paquetes y nos aseguraran un buen trabajo continuando Arch Linux.
"Algunos, dijo, se tomaron la cuestión en serio y mandaron parches para pacman, pero los desarrolladores principales se negaron a incluirlos"
Por favor, enseñadme en la historia detallada que he escrito más arriba, cuando pasó eso. Como no podeis, os felicito por perpetuar los rumores.
"McRae... empezó todas las discusiones del tema, y aplastó los intentos de otros para trabajar en una solución"
¿Me tomas el pelo? Te has leido si quiera la lista de correo a la que se refiere? Es evidente que no, porque si no hubieras visto lo que hice más arriba. Investigar una conversación completamente pública antes de publicar nada debe de ser opcional hoy en dia.
"En el segundo informe de bug, IgnorantGuru sugirió una solución ligera que implicaba sólo la firma de la base de datos del servidor principal... McRae replicó..."
Si los enlaces en tu artículo son correctos, te refieres a FS#23103. Lo más gracioso es que ese bug no trata sobre las firmas (solo sobre el checksum), y ni siquiera tiene un solo comentario del mencionado Allan McRae. Te pillé.
(Nota del editor: le dí a LWN 12 horas para responder a esto antes de hacerlo público. Desde entonces han cambiado el artículo, y donde ponia "segundo" ahora pone "primero", así que lo anterior ya no es válido. Para el primer bug, FS#23101, el artículo dice correctamente que "IgnorantGuru incluso propuso una solución ligera". Sin embargo, las sugerencias no producen software funcional, sólo el código produce software funcional, y no se nos mandó ni una sola línea de código en ese informe de bug).
"A continuación describe parches enviados por él mismo y otros desarrolladores de Arch, y lo que McRae y otros desarrolladores principales hicieron para que no se implementaran. Este segundo post sigue la línea del precedente, pero la discusión del tema aporta más detalles, ya que McRae se unió a él."
Enseñádme un sólo parche que nos haya enviado. No lo encontrareis.
Además, enseñadnos qué hicimos para impedir que se implementaran. No encontrareis nada.
Para terminar, rematais vuestras difamaciones sin fundamento contra Allan refiriéndoos a este "segundo post", pero sin dar ningun enlace para que vuestros lectores puedan verificar lo dicho de manera independiente.
(Nota del editor: LWN me ha corregido un poco aqui, afirmando que he malinterpretado este párrafo. El post enlazado y el "segundo post" son el mismo: la entrada en el blog de IgnorantGuru. Por último "la discusión del tema" se refiere a los comentarios en su blog, que es algo que no entiendo. Nunca imaginé que una revista pudiera citar los comentarios en un blog como una fuente fiable.)
"Por supuesto, este es el segundo nivel con el que la resistencia de los desarrolladores principales de Arch se está topando: el hecho de que deberian impedir que los parches de seguridad se incluyeran en el proyecto."
Por favor, seguid traficando con mentiras e imputaciones sin fundamento. Allan mostró su opinión, que no era muy impotante para él, y eso se interpreta ahora como un bloqueo contra cualquier intento de introducir las firmas.
Felicidades, LWN, por caer aun más bajo. No vais a ver mi dinero en mucho tiempo igual que los periodicuchos de la verduleria tampoco lo ven.
DONDE ESTAMOS AHORA
Con pacman 3.5 a la vuelta de la esquina, y el 3.6 en desarrollo, la firma de paquetes no se ha abandonado. En realidad, hay tres merges diferentes, y ya se han realizado varias revisiones de seguimiento en un código que en algunos casos tiene casi tres años.
Aun y asi, nadie ha dado un paso adelante para abordar la lista de cosas de hacer en la cuestión de la firma de paquetes. Preveo que vamos a ser Allan y yo los que tengamos que trabajar en ello, con un poco de ayuda, con suerte, de Denis, Xavier y nuestro nuevo colaborador habitual Dave Reisner. Todo se hará, pero todo necesita su tiempo, pues sólo somos voluntarios.
#2 Pero bueno, ¿no iba a se un resumen?
#3 Sí, claro, el resúmen son seis líneas, pero como es en inglés luego viene la traducción
Relacionada con esta otra:
Mal rollo con Arch Linux…
Mal rollo con Arch Linux…
muylinux.comDe hecho es la respuesta de los desarrolladores a toda la polémica.
Resumiendo para los vagos, porque el artículo es muy largo: todo ha sido un flame montado por un tio que al final parece que es un troll como una casa: es mentira que los desarrolladores de Arch no hagan caso de la gente que intenta contribuir para introducir la firma de paquetes, entre otras cosas porque nadie ha hecho nada para implementar efectivamente la firma de paquetes, y menos que nadie el tio que inició toda la polémica (aunque los desarrolladores principales llevan trabajando en el asunto mucho tiempo, ninguno tiene tiempo para impleentarlo definitivamente). Tampoco es verdad que le trataran con desprecio, ni a él ni a ningun otro que haya intentado contribuir al asunto, todo parece cosa de un artículo de LWN que se hizo eco del lloriqueo del troll sin contrastar lo que decia.
Traducción:
Esta será una lectura larga, y espero, informativa. Os recomiendo que os senteis y os pongais las gafas de leer, o mejor aun, os hagais una taza de café.
Hemos recibido muchas críticas injustificadas en el último mes en relación con la firma de paquetes, y me gustaria enfriar los ánimos, así como desmontar cierto desliz "periodístico" que provocó esta entrada en el blog. Gracias, LWN, por proveer el catalizador.
Si no quieréis conocer los antecedentes, id directamente a "El tema Prohibido"
ANTECEDENTES
Para los que lean mi blog por primera vez, yo (Dan McGee, aka toofishes), soy el actual desarrollador-jefe de pacman, y lo llevo siendo desde 2007, cuando llegué para sustituir a Aaron Griffin, quien ahora es el "jefe supremo" de Arch Linux desde que Judd lo dejó. He contribuido con el código de pacman desde 2006, así que es un software que no me resulta desconocido en absoluto.
Actualmente me ayuda otro gran desarrollador y mantenedor, Allan McRae. Empezó a trabajar principalmente con makepkg hacia mayo del 2008, pero ahora se encarga de revisar cambios en todo el código. ¿He dicho ya que se encarga de la cadena de herramientas de Arch, así como de diversos paquetes de [core]? No sé muy bien cómo lo hace.
LA HISTORIA
FS#5331 : Paquetes firmados
Sé que puede sorprender, pero pacman tiene un bug tracker [sistema de seguimiento de bugs]. Uno de los cinco bugs más antiguos es FS#5331 : Signed packages [Paquetes Firmados]. Abierto en spetiembre de 2006, no tubo ningun comentario hasta julio del 2007. Cuando los comentarios empezaron, nadie produjo ningun parche, código, o nada para empezar ningun plan. El bug fué olvidado hasta marzo del 2010.
EL PRIMER PARCHE
Nos vamos hasta 2008. El 1 de junio de 2008, un dia que serà recordado con infamia, apareció en la lista de correo de pacman-dev [desarro de pacman] el primer parche que trataba la firma de paquetes.
Si navegais hasta unos mensajes más tarde, tras unas cuantas revisiones, cuando dije que el parche me parecia bien, encontareéis esta joya. Odio citarme a mí mismo, pero creo que demuestra algo que se ha ovidado en este reciente escándalo.
"A parte de eso, el parche me parece bien, he empezado a meter estos cambios en una rama local que acabará en la principal tarde o temprano. ¡Estoy deseando ver a pacman con soporte perfecto para GPG! [las famosas firmas de paquetes]"
Volveremos a ello en su momento.
Otra cosa en la que fijarse, es que la cuestión que persiste hoy en dia ya apareció entonces: ¿por qué no firmamos la base de datos?. Esto fué respondido, todo el mundo aceptó la respuesta (en aquel momento), y seguimos adelante intentando asegurarnos de arreglar el problema.
SIGUIENTES PARCHES
Lo que sucedió a continuación es muy típico tanto en el desarrollo de pacman como en el de software open-sourse en general: el colaborador original del parche mandó algunos más, dejó de responder a los requerimientos para arreglar los problemas que aun habia, y lo dejó todo en nuestras manos. No es nada agradable para el mantenedor de un proyecto que lo dejen tirado de esa manera, pero por lo menos el trabajo estaba lo bastante bien hecho como para ser asignado a una rama gpg para ser retomado más adelante.
Como suele pasar siempre que hay lios así, estábamos preparando el lanzamiento de la versión 3.2 en julio del 2008 mientras todo esto sucedia, así que los desarrolladores principales no pudieron trabajar en ello. Sin embargo nuestro desarrollador oringinal apareció otra vez para decir que seguia interesado en acabar el trabajo .¿Adivinad de quién no volvimos a saber nada?
El problema con estos parches iniciales es que representan el "trabajo fácil". Firmar un paquete como último paso de su construcción no es muy difícil, no es más que una invocación de la orden gpg. Añadir esta firma a la base de datos de pacman tampoco fué muy difícil. Pero los parches de los demás acabaron aqui, desgraciadamente. VIendo a los autores de los parches que se han intentado hacer luego sobre el original, no nos sorprende encontrar tres nombres: el mio, Allan McRae, y Xavier Chantry (otro colaborador con experiencia en pacman).
No pasó nada más hasta diciembre del 2008. Tube que ponerme serio cuando el debate dejó de producir ningun resultado. Hay una pequeña cita mia que merece ser destacada ("Dejad de hablar y empezad a codificar"), pero lo importante es que se establecieron las normas básicas para lo que debia ser un resultado satisfactorio. El enlace que le sigo enseñando a la gente también entró en escena en aquel entonces [Attacks on package managers].
Tubimos algun que otro parche y contribución en diciembre del 2008. Trabajé bastante en integrar la lectura de firmas en libalpm, meterlo en pactest, y fué (no muy) divertido.
EL PERÍODO DURMIENTE
Nuevamente, nadie trabajaba en la firma de paquetes. Se planteó brevemente en junio del 2009, y se debatió un poco, pero no se produjeron resultados. La gente seguia diciéndonos a Allan y a mí que no estaba claro hacia dónde íbamos, así que les encaminamos a la hoja de ruta de la wiki, y les pedimos que ayudaran en la edición y clarificación. Parece ser que esto es demasiado trabajo para algunos, porque desaparecian tan pronto como abrian la boca. Una vez más, los desarrolladores estaban preparando la versión 3.3, así que no teniamos mucho tiempo para ello.
En este punto, tras un año desde los primeros parches, podeis pensar que ninguno de los desarrolladores originales de pacman tenia mucho interes en implementarlo ellos mismos. Puede que sea verdad, con el giro irónico de que más de la mitad de los parches de nuestra vieja rama gpg son de los tres colaboradors originales. Creo que lo que se puede decir es que nadie queria tomar el timón y terminarlo ellos mismos. En este punto, el trabajo estaba más o menos donde está actualmente, ya que mucho del trabajo que completé en los últimos dias no era más que limpieza del código (a parte de pacman-key). Sin embargo, nunca vereis de mi o de Allan ningun asomo de una actitud en plan "aunque produzcas un buen trabajo y termines las cosas no las vamos a aceptar".
Xavier llevó a cabo una limpieza y mejora de la ya caduca rama gpg en agosto del 2009, fusionando algunos de los viejos parches de la lista de correo.
Y adivinad: otro periodo durmiente hasta abril del 2010
HISTORIA RECIENTE
El tema que resume la parte de "mucho hablar pero no hacer nada" de toda esta historia de la firma de paquetes, empezó en abril del 2010. Esta [enlace] sólo es la parte que estaba en pacman-dev, pero se inició en arch-general, se alargó hasta mayo, y cuenta con 57 mails en un tema. ¿Lo más triste? Del trabajo de firma de paquetes que hice en los últimos dias, no veo ningun parche que saliera de este período de tiempo.
Finalmente conseguimos a un colaborador que se quedó con Denis A. Altoé Falqueto desde junio del 2010 hasta ahora. Sus contribuciones no fueron muy frecuentes, pero escribió la herramienta pacman-key, que actualmente está metida en master e intentaba mantener la firma de paquetes en la lista de características en desarrollo.
Este es el primer periodo de tiempo en el que diria que les fallamos a los que querian trabajar en la firma de paquetes. No fuimos rápidos respondiendo a los parches y mandando feedback. Nótese que esto es así para todos los parches, no sólo estos. Creo que estábamos todos muy ocupados, y no teniamos ni el tiempo ni las energias de antes. Cuando trabajábamos en pacman, queriamos trabajar en cosas divertidas, más que sudar tinta repasando los parches.
EL TEMA PROHIBIDO
No me he podido resistir al titular dramático. El 18 de febrero de 2011, [Your Signature Please] llegó a nuestros correos. Tened en cuenta que:
-Es el primer mensaje del remitente a la lista de correo de pacman-dev
-El señor IgnorantGuru decidió no compartir su nombre auténtico con nosotros.
-La práctica habitual es no postear mensajes de más de 1500 palabras aprox, sobretodo en tu primer mensaje
Resulta que ese dia (viernes) estaba esquiando en Colorado, y estube ausente toda la semana. ¿Creeis que iba a perder el tiempo leyendo una novela? Ni hablar. Pobre Allan, por intentarlo le han echado a los perros por ser un negativista, y sus palabras han sido retorcidas y cambiadas en múltiples publicaciones.
Algunas citas memorables de ese tema que pronto se torció:
"Allan: Te has molestado siquiera en mirar la implementación actual?
IgnorantGuru: Leí alguna discusión sobre ello, pero no lo he mirado todo. Sinceramente me interesa menos que tener las firmas disponibles."