23 abr 2011

Pacman 3.6 incluira firmas digitales

Luego de que se publicase un articulo en LWN.net, que dejaba al descubierto la falencia de seguridad por parte de ArchLinux, en no usar firmas GPG en sus paquetes, recordemos que toda distro lo hace, se genero un eco en toda la web, muylinux.com y demas, era de esperar, que este cacelorazo web provocara algo, y asi fue.
Links de notas:

LWN 23/03/2011
http://lwn.net/SubscriberLink/434990/4c611307c60a7ae1/

MuyLinux.com 02/03/2011
http://www.muylinux.com/2011/03/02/mal-rollo-con-arch-linux/

Blog de Dan (un developer de Arch) 24/03/2011
http://www.toofishes.net/blog/real-story-behind-arch-linux-package-signing/

Bueno, los que se interesen, pueden leer las animaladas que dice Allan McRae en muylinux.com, donde sinceramente, se va al carajo en argento basico con lo que dice, y que su costo es de 1000 USD al dia, quien se cree?.
Los que lean luego el blog de dan, veran como el se excusa una y otra y otra vez, pero no dice nada en concreto.
No se hizo esperar el posteo de muchos usuarios (me incluyo), o dando las gracias, o apoyo, o como quien no quiere la cosa, exigiendo que se haga, lo mismo en su canal de irc.
Es muy ironico a veces leer tantas excusas, pedidos de dinero de forma directa o indirecta, y a los dias ver que se esta haciendo, solo porque, creo modestamente, alguno de mis comments les llegó de verdad, y vieron que metieron la pata.
Reflexionemos un poco, si?.

Que beneficio tiene Debian por mantener viva la distro?:

Ninguno, la satisfaccion de tener un OS libre para ellos y la gente, no olvidemos que Debian no solo tiene dev propios sino ajenos como gente, como vos, como yo, y si, ganara en las debconf, y alguna que otra pavadita.

Que beneficio tiene Slackware por manter viva la distro mas antigua?:

Ninguno, nada, 0, nulo, null.
Patrick lo hace porque le satisface como a muchos geek, decir "si, tengo la mas grande y la mejor", y nadie puede negarlo, es asi, le guste a quien le guste y quien no.

Que beneficios tiene Gentoo?.

Nada, es una fundacion, donaciones, etc, pero porque?, porque se lo han ganado por años!.

No voy a enumerar todas, pero en general, reciben donaciones, porque se lo han ganado, asi es.
Archlinux comenzo como un juego en un garage por lo que se nota, y se les fue de las manos, no fue planeado, fue HECHO, por tanto, cuando cobro popularidad, ya era tarde para mejorar las cosas y tener felices a los usuarios, pero... a quien le interesa los usuarios?, a nadie... lo que importa siempre es algo, saber que podes, o dinero, a menos que seas la madre teresa de calcuta, todos obtienen ALGO por mantener una distro, aunque sea ponerlo en su Curriculum.
Si, Arch tiene las ventajas de todas:

Rolling
Personalizable
Estable
BSD-like init script
Gestor de paquetes
Paquetes no parcheados
Binarios
Podes compilar
X86 y X86_64
Ligera
Multilib
KDE
GNOME
XFCE
OpenBox
AUR (compilar y armas una especie de slackbuild o ebuild llamados PKGBUILD)
Netinstall and Core.


Bueno, como veran, no destaque segura, como puede ser una distro segura si no firma sus paquetes, o no tiene un security team?, o no trae apparmor, o selinux, o version hardened como Gentoo... y que pasa?, se cae de mi TOP distro.
Asi es, que segun mi razonamiento, Dan, vio algunos comment, donde se le decia claramente, si queres dinero, no lo pidas, de ninguna forma, esa no es la base del Open Source, hace mejor tu distro que tiene todo para ser la Nro1, y cobra licencias de mantenimiento, como hace redhat, o canonical.
No es casual, que luego de su post en su blog, y los comment, que decian eso y "hazlo", ademas de dejar en evidencia que eso se abrio en el bugtracker en el año 2006 y han pasado 5 años, y uno que aporto, un tal ignorantguru critico duramente, ademas de verse sus parches, ademas de que Arch no permite que sus usuarios (no yo), sino los que son dev, muchos de ellos aporten, como hace Debian, por ej.
Uso Arch, uso solo kernel.org como mirror, lo considero seguro, de alli saco mis kernel que compilo, pero la noticia, es que el bug que estaba en el 2006 abierto, se reabrio el mismo dia por Dan, es decir... 5 años ?, no es mucha casualidad?, se vio venir, o arreglan eso, o vamos a Gentoo, o a Slackware, muchos usuarios de Arch son ex ubuntu o Slackware o Gentoo, por su pacman y por ser rolling, lo que no indica que puedan volver a sus distros de cabecera.
Por lo que vi en el GIT de Dan, y el src en C, estan preparando una version con GPG en pacman 3.6, asi que en algunos meses ArchLinux estara al nivel de las demas en ese aspecto, y si, se que me diran, que la seguridad es proactiva, lo se, pero se debe tener una base, hay mas cosas, como propolice, etc, y no las implementan (son pavadas de un flag en el gcc), ahora, lo que en 5 años no se hizo, se hace en meses?, no es raro?... para pensarlo

1 comentario:

Reisilver dijo...

Excelente ojalá se haga realidad y se de por terminado este problema de una vez por todas XD.