Debian se lo quiere poner difícil a la CIA con las ‘compilaciones reproducibles’
El código abierto garantiza por encima de cualquier otro modelo de desarrollo que el software es lo que dice ser y nada más, que no esconde puertas traseras y que cada vulnerabilidad hallada es en efecto un error de programación, no un agujero dejado ex profeso. Sin embargo, tiene un hándicap para el usuario final, y es que este tiene difícil comprobar su autenticidad.
Las auditorías de software están a la orden del día, especialmente en el segmento del Open Source. E incluso cuando no es el caso, parece que sí, suele haber alguien que se lee el código, reconoce y encuentra lo que debe. ¿Cuál es el “problema”, entonces? Que la mayoría de usuarios usan software ya compilado en la forma de binarios, lo cual complica la verificación del mismo, que nadie lo haya alterado en el proceso de convertir el código fuente original.
Así, en Debian se han propuesto dar solución a tal inconveniente. “La idea es aportar confianza razonable de que un binario determinado fue realmente producido por la fuente“, comenta el desarrollador Jérémy Bobbio. A lo que se refiere es a hacer posible la reproducción del proceso de compilación por terceros. No es algo nuevo, pues proyectos como Bitcoin o Tor ya se basan en ello y otros como la familia BSD van por el mismo camino, por lo que es hora de que Debian y sus más de 22.000 paquetes, de los cuales un 83% ya permiten la reproducción de su compilación, se sumen al cambio.
“Las compilaciones reproducibles deberían ser la norma. Hagamos de esto la norma para todo el software que producimos“, apunta Bobbio. “Malo para la CIA, bueno para nosotros“, agrega.
Fuente: www.muylinux.com