ONLYOFFICE Online Editors 5.5 ya está entre nosotros para darle un impulso a esta conocida suite ofimática en la nube, que también cuenta con aplicaciones que se pueden instalar localmente tanto en sistemas de escritorio (incluido GNU/Linux) y móviles.

La primera novedad importante de ONLYOFFICE Online Editors 5.5 es la posibilidad de comparar rápidamente dos documentos texto y ver qué diferencia hay entre estos. Los encargados de la suite dicen que hay tres modos de visualización y que el mecanismo no deja pasar ni la más mínima diferenciación, lo que viene muy bien cuando se está lidiando con contratos o documentos legales. El usuario puede aceptar o rechazar los cambios uno por uno o todos la vez y guardarlos en una versión versión del documento comparado.

Los nuevos tipos de control de contenidos permiten crear formularios con campos para introducir datos, entre los que se encuentran cuadros combinados, casillas de verificación, listas desplegables, fechas e imágenes. De esta manera se consigue estandarizar los formatos y crear documentos más automatizados.

ONLYOFFICE es una suite que intenta abrirse hueco en el sector profesional, y para ello la versión 5.5 de Online Editors permite dar a los documentos “un diseño profesional estableciendo márgenes simétricos y márgenes de medianil para las páginas que serán encuadernadas.”

Con los pies de ilustración el usuario puede etiquetar imágenes, formas, tablas, gráficos y ecuaciones para hacer el documento más estructurado y fácil de seguir.

En lo que respecta al editor de hojas de cálculo, en ONLYOFFICE Online Editors 5.5 se ha destacado en primer lugar la adición de una “opción de clasificación personalizada para crear sus propias reglas de clasificación de datos.”

La impresión (de imprimir) hojas de cálculo se ha mejorado con la opción “Escala de Ajuste”, que hace que la hoja de cálculo a imprimir se ajuste a la página impresa.

Otras características añadidas al editor de hojas de cálculo son el control de la alineación de los objetos gráficos en la opción “Ajuste de celdas”; el relleno de celdas con colores, patrones y degradados; la realización de acciones con varios cuadernos a granel; recalculación de las fórmulas en todo el cuaderno de trabajo o en la hoja de cálculos después de realizar acciones que hayan podido influir en los datos; la posibilidad de añadir separadores personalizados para miles y decimales; y ajustar la configuración del correcto ortográfico para ignorar las palabras en mayúsculas o las palabras con números.

La aplicación de presentaciones de diapositivas digitales también ha recibido mejoras, de las que se pueden destacar la adición rápida de tablas, formas, diagramas e imágenes al diseño de diapositivas y objetos al marcador de posición. “Además, ahora es posible restablecer instantáneamente el diseño de diapositivas.”

A todo lo mencionado hasta aquí se suman otras mejoras que comparten todas las aplicaciones, como la elección de nuevos tipos de viñetas y la eliminación de comentarios con un solo clic. Por ahora ONLYOFFICE Online Editors 5.5 “ha sido lanzada para las soluciones de servidor y pronto estará disponible para” los usuarios de la solución creada por los encargados de la suite. Por otro lado, aquellos que prefieran las aplicaciones instaladas localmente pueden recurrir a Desktop Editors.

 

Entreda: Muylinux

GNOME 3.36 ya está entre nosotros para seguir mejorando al que podría considerarse como el entorno de escritorio oficial de GNU/Linux, sobre todo porque es el ofrecido por las tres grandes distribuciones corporativas: Red Hat Enterprise Linux, SuSE Linux Enterprise Desktop y Ubuntu.

Lo primero que han destacado los encargados de GNOME sobre la versión 3.36 del entorno es la nueva aplicación de Extensiones, mediante la cual se gestionan las actualizaciones de las extensiones y se permite configurar sus preferencias y eliminar o desactivar las que no se quieran. Su apariencia sigue las líneas de diseño características de GNOME, con una interfaz minimalista y sencilla orientada a ofrecer solo lo que el usuario necesita.

¿Te gustaría centrarte en tu trabajo y evitar que las notificaciones te molesten? GNOME 3.36 incluye una útil opción de “No molestar” a la que se puede acceder desde la bandeja de notificaciones. Esta característica es igual o similar a la que tiene Android, cumpliendo además la misma función.

La pantalla de bloqueo ha recibido cambios profundos para mejorar la experiencia con el inicio de sesión y el desbloqueo, haciéndola “más funcional, fácil de usar y elegante dentro de su simplicidad”. Por otro lado, la posibilidad de inhabilitar el soporte de USB en la pantalla de bloqueo añade una capa extra de seguridad.

A nivel de interfaz también se han introducido cambios notables, como el hecho de que ahora haya un botón gráfico para suspender que permite realizar dicha acción de forma mucho más intuitiva. GNOME 3.36 permite visualizar la contraseña introducida en el correspondiente diálogo pulsando sobre el nuevo icono con forma de ojo, se han rediseñado muchos de los diálogos del sistema y añadido la posibilidad de “renombrar las carpetas de aplicaciones en la vista de aplicaciones”, además de haberse mejorado la interfaz general, con especial mención al calendario emergente y la búsqueda.

La configuración general del entorno de escritorio es otro aspecto que ha mejorado mucho en GNOME 3.36. Las secciones han sido reorganizadas para que sean más sencillas de navegar; la sección de privacidad ahora lista las aplicaciones a las que se han concedido permisos de acceder a los servicios de ubicación, la cámara y el micrófono; además de haberse rediseñado la interfaz de las secciones Usuarios y “Acerca de” para que sean más explícitas en el suministro de información y la modificación de la configuración.

Cuando se detecte una red medida, GNOME pausará la descarga de las actualizaciones a través de la tienda de aplicaciones para así reducir la cantidad de datos usada, y es que si bien Debian Stable tiende a actualizar lo mínimo imprescindible, otros sistemas como Arch Linux pueden llevar acabo procesos de actualización en los que se descargan un gigabyte o más de datos.

Boxes no es un software de virtualización ambicioso, pero que dentro de su contexto cumple con su propósito. Con GNOME 3.36 ha ganado un tutorial de bienvenida (aunque a niveles generales es tan simple que se autoexplica) y las posibilidades de establecer el número de núcleos del procesador por cada máquina virtual y el soporte de arranque UEFI. Si en un futuro suma la posibilidad de configurar la red en puente, GNOME Boxes podría dar un salto importante.

Aunque Red Hat está vitaminando Firefox para hacerlo competitivo en Wayland, GNOME cuenta con su propio navegador web, Web, antes llamado Epiphany. Esta aplicación puede ahora abrir ficheros PDF de forma directa, su interfaz es “más amigable en pantallas pequeñas” y soporta un modo oscuro para que vaya más a juego con los temas oscuros disponibles para el entorno de escritorio.

GNOME 3.36 está dispuesto a darle todo un impulso al entorno a nivel de funciones, por lo que también ha sumado un sistema de control parental que puede ser establecido a través del asistente de configuración inicial del primer usuario. “Esto añade una página en la configuración que permite o deniega el acceso a aplicaciones y software.”

Ahora los usuarios de NVIDIA con el driver privativo pueden indicar sobre qué gráfica quieren ejecutar una aplicación “mediante el elemento de menú ‘Ejecutar con la GPU’”. A pesar de todo el tiempo que ha transcurrido, el soporte de Optimus para GNU/Linux deja todavía bastante que desear, así que todo mecanismo que facilite este aspecto es bienvenido.

Las aplicaciones predeterminadas han cambiado radicalmente debido a que Rhythmbox ha sido sustituido por GNOME Music, Shotwell por GNOME Photos y Evoluton por Geary. El cambio de Evolution por Geary es como sustituir un jugador franquicia por una medianía, sobre todo en entornos corporativos, pero la segunda aplicación posiblemente se adapte mejor a la experiencia que quiere ofrecer el entorno de escritorio. Pero afortunadamente no hay nada que temer, ya que Evolution seguirá en desarrollo.

A pesar de tener muchas virtudes, GNOME tiene en el rendimiento uno de sus puntos más criticados. La versión 3.36 del entorno incluye muchas mejoras en el rendimiento que abarcan la herramienta de screencast sobre Wayland (aunque sería más interesante ver si alguien mete pulso para que OBS Studio soporte Wayland), XWayland y Mutter.

Por lo que se puede ver, GNOME 3.36 viene cargado de novedades que prometen mejorar la experiencia con este entorno de escritorio. Los que quieran conocer la información desde fuentes oficiales pueden consultar las notas de lanzamiento y el anuncio oficial.

Entreda: Muylinux

Amazon Web Services (AWS) ha anunciado la creación de su propia distribución Linux, Bottlerocket, con la que pretende poner a disposición un sistema operativo creado específicamente para la ejecución de contenedores en máquinas virtuales o en hosts bare metal.

La computación en la nube es el concepto que ido cambiando de manera constante la informática que conocimos durante la primera década del Siglo XXI, y Linux ha sido uno de los puntales más importantes de dicha transformación. Desde hace años proveedores de servidores como AWS, Google y Linode permiten implementar un servidor Linux en cuestión de segundos, y dentro de estos se pueden instalar tecnologías como Docker y Kubernetes, que ayudan al despliegue de servicios gracias a que los contendedores solo proporcionan los paquetes necesarios, reduciendo drásticamente el tamaño del sistema operativo y con ello el tiempo de implementación.

Amazon Web Services ha justificado la creación de Bottlerocket en el hecho de que “la mayoría de clientes ejecutan aplicaciones en contenedores en sistemas operativos de propósito general que se actualizan paquete por paquete, lo que hace que las actualizaciones del sistema operativo sean difíciles de automatizar”. No, no estamos ante un sistema operativo de propósito general como Ubuntu o Debian, sino ante uno que pretende cumplir un propósito específico y que se centra en ofrecer solo los componentes necesarios.

Según Amazon Web Services, Bottlerocket cuenta con las siguientes virtudes:

• Mayor tiempo de actividad para aplicaciones de contenedores: Las actualizaciones de Bottlerocket se aplican en un solo paso y se pueden revertir si es necesario, lo que resulta en tasas de error más bajas y un tiempo de actividad mejorado para las aplicaciones de contenedores.
• El modelo de desarrollo de código abierto permite compilaciones personalizadas: Bottlerocket permite a clientes y socios producir compilaciones personalizadas, por ejemplo, admitiendo sus orquestadores preferidos (los competidores de Kubernetes para los que están perdidos). Los cambios en estas compilaciones personalizadas pueden ser devueltos para su inclusión en el proyecto original, tal y como suele pasar con los proyectos de software libre.
• Menores gastos generales de administración y costes operativos: Las actualizaciones de Bottlerocket se pueden automatizar utilizando servicios de orquestación de contenedores como Amazon EKS, que reducen los gastos generales de administración y los costos operativos.
• Seguridad mejorada y utilización de recursos: Bottlerocket incluye solo el software esencial para ejecutar contenedores, lo que mejora la utilización de recursos y reduce el área de ataque en comparación con los sistemas operativos de propósito general.
• Rendimiento optimizado a través de integraciones de AWS: Las versiones proporcionadas por AWS de Bottlerocket están optimizadas para ejecutarse en Amazon EC2 e incluyen soporte para las últimas capacidades de instancias de Amazon EC2. También cuentan con integraciones con los servicios de AWS para orquestación de contenedores, registros y observabilidad.
• 3 años de soporte: Las versiones de Bottlerocket proporcionadas por AWS están cubiertas por tres años de soporte después de que se anuncie la disponibilidad general. Estas compilaciones proporcionadas por AWS están cubiertas por los planes de soporte de AWS sin costo adicional.

De momento Bottlerocket no está considerado como estable, sino que está en versión preliminar pública gratuita. Su código fuente, que está bajo las licencias MIT y Apache 2, puede ser encontrado en GitHub, donde también está el soporte de la comunidad.

Entreda: Muylinux

Volla Phone es un smartphone Linux creado por una startup alemana que se puso como meta recaudar 350.000 euros mediante KickStarter, pero su exceso de ambición le hizo quedarse muy lejos de su objetivo. Los responsables del proyecto no se rindieron y en una segunda campaña sí han logrado recaudar lo que esperaban, aunque reduciendo el objetivo a 10.000 euros y consiguiendo más de 20.000.

Volla Phone es un proyecto similar a otros con los objetivos de ejecutar un sistema operativo GNU/Linux en un smartphone y ofrecer una mejor privacidad, sobre todo en comparación con Android. La intención es lanzar un smartphone que sea capaz de ejecutar UBPorts (antes Ubuntu Touch), Sailfish OS (que por razones de licencia no puede ser preinstalado) y otras distribuciones GNU/Linux adaptadas a móviles. A nivel de privacidad destacará por la inclusión de un servicio de VPN gratuito y no preinstalará los servicios de Google.

En lo que respecta a sus especificaciones de hardware, el Volla Phone contará con una pantalla IPS de 6,3 pulgadas, un chipset MediaTek Helio P23, 4GB de RAM y 64GB de almacenamiento interno ampliables con tarjetas microSD, una batería de 5.000mAh, soporte de LTE Cat6, jack de 3,5mm para conectar unos altavoces (o auriculares) de “toda la vida” y un puerto USB Type-C para transmisión de datos y recarga de la batería. Sus cámaras apuntan a ser más bien básicas para los tiempos actuales, aunque esta faceta posiblemente no sea la más demandada entre los potenciales compradores de este móvil. Por último, su precio al venta al público será de 359 euros, si bien para otras regiones partirá de 309 euros más impuesto de importación pagado aparte.

Los motivos de por qué en la segunda campaña de KickStarter se ha pedido poco dinero en comparación con la anterior ha podido ser, según una actualización publicada en la campaña original, por el hecho de que “el inversor del proyecto está aumentando los recursos financieros para el desarrollo” y “se ha acordado con el proveedor de hardware términos y condiciones de entrega más flexibles”. La previsión inicial es que las primeras unidades del Volla Phone sean entregadas el próximo otoño, siendo ensamblado en su totalidad en las fábricas de Gigaset (Siemens) en Alemania.

Volla Phone es un smartphone Linux que coexistirá con otros como el Librem 5 y el PinePhone, de los cuales hemos publicado en más de una ocasión en MuyLinux. Está claro que ninguno se perfila como una alternativa real frente al duopolio que actualmente forman iOS y Android, pero igual pueden ser un punto de partida para empezar a cambiar las cosas si alguno consigue superar sus expectativas de ventas.

Entreda: Muylinux

Ya está disponible Zorin OS 15.2, la nueva versión de la distribución Linux que le quiere disputar el puesto de la más recomendable para los recién llegado de Windows a la mismísima Linux Mint. ¿Buscas una alternativa bonita, sencilla y enfocada al cien por cien en el usuario doméstico de PC? Esta es una candidata a considerar.

Zorin OS 15.2 es la nueva actualización de Zorin OS 15 y Zorin OS 15.1, lo cual es una evidencia en toda regla, pero señalarla nos sirve también para enlazar los artículos que recogen las novedades de ambos lanzamientos, que en conjunto y de manera incremental conforman la versión más ambiciosa hasta la fecha de esta distribución.

Nos ahorramos por lo tanto repetir lo que ya hemos contado y nos centramos en Zorin OS 15.2, que no recibe con demasiadas novedades, pero sí con las suficientes como para fijarnos en ella. Comenzando por la actualización de los componentes base, que son los que trajo Ubuntu 18.04.4 LTS el mes pasado e incluyen como elemento destacado al kernel Linux 5.3, con todas las mejoras de soporte que ello conlleva.

Por lo demás, Zorin OS 15.2 actualiza aplicaciones como LibreOffice (6.3.5.2), GIMP (2.10.14) y otras tantas y hasta ahí llega lo que ofrece este lanzamientos, una actualización de mantenimiento comparable a la mencionada Ubuntu 18.04.4 LTS, con el añadido de las aplicaciones. Es, en definitiva, una renovación del medio de instalación dirigido a nuevas instalaciones, pues los usuarios que la tengan ya instalada y actualizada están servidos.

Si no conoces mucho Zorin OS, nos remitimos a la introducción del artículo: es una distro de usuario final de PC, se basa en Ubuntu, cuenta con un escritorio propio adaptado a partir de GNOME y al ojo tiene muy buena pinta. Te recordamos asimismo que está disponible en cuatro ediciones: Ultimate (de pago y con algunos extras superfluos), Core, Lite y Education. Las que te interesa probar son Core o Lite, esta última con escritorio Xfce.

Según cuentan sus desarrolladores, la actual versión y sus actualizaciones acumulan ya más de 900 000 descargas, la mayoría de las cuales provienen de Windows y Mac «reflejando nuestra misión de llevar el poder de Linux a las personas que nunca antes tuvieron acceso a él». No es para tanto, desde luego, pero más allá del autobombo es una propuesta llamativa.

Entreda: Muylinux

Azure Sphere es el primer sistema basado en Linux desarrollado por Microsoft, está diseñado para el Internet de las cosas (IoT) y tras casi dos años en el horno, acaba de ver la luz, según informan en The Register.

Azure Sphere se anunció en abril de 2018 y con bastante bombo, pues se le llegó a denominar como «el primer Linux de Microsoft». No es tal cosa. O no lo es del todo. Para cuando se supo de Azure Sphere, Microsoft ya llevaba tiempo trabajando en la implementación de Windows Subsystem for Linux (WSL) en Windows 10 y antes había dado a conocer Azure Cloud Switch, otro proyecto basado en Linux que también se extendió mediáticamente como la primera distribución Linux de Microsoft, aunque lo cierto es que se trata de una aplicación específica con enfoque de uso interno.

Con todo, Azure Sphere sí que puede ser considerado como el primer sistema operativo completo de Microsoft basado en Linux, por más que no se vaya a distribuir así como así. Su nombre no lleva a engaño y según lo presentan es «una solución integral de seguridad de IoT que incluye hardware, sistema operativo y componentes en la nube, para proteger activamente sus dispositivos, su empresa y sus clientes». Ergo, esto no es competencia para los GNU/Linux diseñado para el IoT, sino una herramienta intrínsecamente ligada a Azure, la plataforma de servicios en la nube de Microsoft.

Como recogimos entonces, Azure Sphere se centra en la creación de dispositivos «MCU (dispositivos con microcontroladores IoT con todos los componentes (CPU, RAM, ROM…) necesarios para su conexión) altamente seguros y conectados a Internet» desarrollados en torno a tres componentes básicos:

• Microcontroladores certificados Azure Sphere (MCU), un nuevo tipo de chips que combinan el proceso de aplicaciones en tiempo real con conectividad y seguridad desarrollado por Microsoft que surge, entre otras cosas, de las experiencia de la compañía con Xbox.
• Azure Sphere OS, un nuevo sistema operativo diseñado de acuerdo a la protección por capas mencionada, basado en los avances de Microsoft y construido con «un kernel de Linux personalizado para crear un entorno de software altamente seguro y una plataforma confiable para las nuevas experiencias de IoT».
• Servicio de seguridad de Azure Sphere, un servicio en la nube dedicado a la protección de los dispositivos que hagan uso de Azure Sphere el cual contempla medidas de protección «de dispositivo a dispositivo y de dispositivo a nube a través de autenticación basada en certificados, detección de amenazas de seguridad y actualizaciones de software».

Toda la información en la página oficial de Azure Sphere.

En resumen, Microsoft sigue nutriendo de soluciones el área de negocio que más réditos les está dando, y no es ni Xbox, ni Windows ni Office (aunque esta última también les va bastante bien), sino los servicios profesionales ligados a Azure. La semana pasada tuvimos otro ejemplo en este sentido con el anuncio de Microsoft Defender para Linux, aunque no es tal y como suena y se reduce, de nuevo, a Azure.

Font: MuyLinux

The Linux Foundation ha publicado su informe Census II, con el pretende identificar “los componentes de software libre y de código abierto (FLOSS) más utilizados en aplicaciones de producción y comenzar a examinarlos para detectar posibles vulnerabilidades.”

Census II es el primer estudio importante de este tipo, pero no es un análisis final. Siendo más concretos, da los primeros pasos importantes y presenta una metodología para comprender y abordar las complejidades estructurales y de seguridad del software Open Source, además de identificar lo que se ha mencionado en el párrafo anterior.

¿Cuáles son los proyectos Open Source más populares?

Para la elaboración del informe, Core Infrastructure Initiative (CII) y el Laboratorio para Ciencia de Innovación de Harvard (LISH) han unido sus fuerzas con empresas de seguridad como Snyk y Synopsys Cybersecurity Research Center para combinar datos de uso privado con otros públicamente para identificar más de 200 de los proyectos de software Open Source más utilizados, los cuales han sido divididos en dos categorías: los que se basan en JavaScript y los que no. Los primeros cobran especial relevancia debido al ecosistema NPM, que contiene decenas de componentes que han sido escritos con unas pocas decenas de líneas de código de JavaScript y en muchos casos sin que haya funciones declaradas. Curiosamente, aquí no se encuentran pedazos de software populares como podrían serlo Linux, Apache y MySQL, por nombrar tres ejemplos socorridos.

Además, y siguiendo la línea del informe publicado hace poco por Red Hat, se recalca la cada vez mayor importancia del FLOSS en el mundo empresarial. Frank Nagle, profesor de la Escuela de Negocios de Harvard y codirector del informe Census II, ha comentado que “el FLOSS fue visto por mucho tiempo como el dominio de los aficionados y manitas de la computación. Sin embargo, ahora se ha convertido en un componente integral de la economía moderna y fundamental de las tecnologías cotidianas como teléfonos inteligentes, automóviles, Internet de las cosas y numerosas piezas de infraestructura crítica. Comprender qué componentes son los más utilizados y los más vulnerables nos permitirá ayudar a garantizar la salud continua del ecosistema y la economía digital.”

Aunque los grandes proyectos suelen acaparar el protagonismo, el hecho de no poner un ojo supervisando proyectos aparentemente más pequeños puede terminar teniendo consecuencias catastróficas. Esto se vio hace unos años con el caso de Heartbleed, la vulnerabilidad hallada en OpenSSL que dejó en pañales toda la web. Dicha situación obligó a mover fichas para que la biblioteca criptográfica tuviera un mantenimiento y una supervisión correctos, ya que el código abierto no proporciona seguridad de por el hecho de serlo, si bien la mayor transparencia ayuda en la detección de vulnerabilidades y permite auditar código sin compromisos.

A pesar de que el Open Source lleva tiempo intentando penetrar en el mercado de masas, donde tiene actualmente su principal nicho es en los desarrolladores, que muchas veces descubren un software y luego deciden descargarlo e implementarlo en los prototipos de sus proyectos. Aquí es importante tener en cuenta el ecosistema de NPM, donde el 47% de los paquetes tienen entre 0 y 1 funciones, siendo la media del total 112 líneas de código en JavaScript. Esto no solo pone de relieve el pequeño tamaño de los proyectos con los que suelen trabajar muchos desarrolladores, sino que contrasta con las 2.232 líneas de código que tiene de media un módulo de Python alojados en el repositorio PyPI. Sin más dilación, vamos a mencionar los componentes de software Open Source más utilizados en cada una de las categorías establecidas por el estudio.

Programas de JavaScript más usados:

• Async: Un módulo de utilidad que proporciona funciones para trabajar con JavaScript asíncrono. Aunque originalmente se diseñó para ser uado con Node.js y se puede instalar a través del comando “npm install async”, es posible usarlo directamente en el navegador.
• Inherits: Herencia amigable con el navegador totalmente compatible con las herencias del node.js estándar.
• Isarray: Matriz para navegadores más antiguos y versiones obsoletas de Node.js.
• Kind-of: Obtiene el tipo nativo de JavaScript de un valor.
• Lodash: Una moderna biblioteca de utilidades de JavaScript que ofrece modularidad, rendimiento y extras.
• Minimist: Opciones de argumento de análisis.
• Natives: Llama a los módulos JavaScript nativos de Node.js.
• Qs: Una biblioteca de parseo y conversación a string de cadenas de consulta con cierta seguridad adicional
• Readable-stream:: Flujos principales de Node.js para el espacio de usuario.
• String_decoder:: Node-core string_decoder para el espacio de usuario.

Los componentes más usados que no están hechos con JavaScript:

• Com.fasterxml.jackson.core:jackson-core: Una parte central de Jackson, un procesador JSON (JavaScript Object Notation) que define la API Streaming y las abstracciones básicas compartidas.
• Com.fasterxml.jackson.core:jackson-databind: Paquete general de enlace de datos para Jackson (2.x). Funciona en implementaciones de API de transmisión.
• Com.google.guava:guava: Bibliotecas principales de Google para Java.
• Commons-codec: El software Apache Commons-Codec proporciona implementaciones de codificadores y decodificadores comunes como Base64, Hex, Fonética y URL.
• Commons-io: Commons IO es una biblioteca de utilidades para ayudar con el desarrollo de la funcionalidad entrada-salida.
• Httpcomponents-client: El proyecto Apache HttpComponents es un conjunto de herramientas de componentes Java de bajo nivel centrados en HTTP y protocolos asociados.
• Httpcomponents-core: Lo mismos que el anterior.
• Logback-core: El marco de registro confiable, genérico, rápido y flexible para Java.
• Org.apache.commons: commons-lang3: Un paquete de clases de utilidad Java para las clases que están en la jerarquía de java.lang, o que se consideran tan estándar como para justificar la existencia en java.lang.
• Slf4j: Fachada de registro simple para Java.

 

 

Los principales problemas en el Open Source

Los investigadores tras el informe descubrieron que el mito del desarrollador único de código abierto que trabaja por amor al arte es solo eso: un mito. Un programador puede comenzar en casa, pero no se queda ahí a menos que le guste su oficina en casa. En lugar de eso, lo que se plasma en el informe Census II es una alta correlación entre estar empleado y ser uno de los principales contribuyentes a los paquetes FOSS más populares.

El punto expuesto en el párrafo anterior tampoco es que sea una sorpresa, sino que ya se ha visto en otras ocasiones, como por ejemplo en GitHub, donde un porcentaje importante de los contribuidores a los proyectos más relevantes proceden de grandes corporaciones como Microsoft. No, el Open Source ya no es un “movimiento rebelde”, sino que se ha consolidado como un motor importante de muchas grandes empresas del mundo.

Por otro lado, los investigadores han encontrado diversos problemas comunes entre en los componentes Open Source. El primero de estos es la falta de un esquema de nomenclatura estandarizado para los componentes de software, que hace que el seguimiento de estos programas sea un gran problema.

The Linux Foundation y sus socios creen que existe una “necesidad crítica de crear un esquema de denominación de componentes de software estandarizado. Hasta que exista, las estrategias para la seguridad del software, la transparencia y más tendrán un efecto limitado. Las organizaciones seguirán siendo categóricamente incapaces de comunicarse entre sí”, algo a lo que suma “la frecuencia y la sofisticación crecientes de los incidentes de ciberseguridad en los que la cadena de suministro de software juega un papel importante.”

El segundo problema es que muchos de estos programas viven de la mano de desarrolladores individuales. “De los diez paquetes de software más utilizados en nuestro análisis, el equipo de CII descubrió que siete estaban alojados en cuentas de desarrolladores individuales”. ¿Qué sucede si una de estas cuentas es hackeada? Lastimosamente, aquí hay ejemplos de proyectos que han acabado mal debido al hackeo de la cuenta de sus propietarios, que eran personas individuales.

Por ejemplo, un programa de Node.js llamado left-pad fue eliminado por su desarrollador, provocando que miles de programas JavaScript npm fallaran. Otro ejemplo fue el hecho de que un hacker obtuvo acceso a la popular biblioteca de JavaScript Event-Stream y colocó una puerta trasera en el código. Luego agregó código malicioso en la biblioteca, lo que le permitió robar Bitcoin.

Está claro que las cuentas de desarrolladores individuales necesitan más protección de la que tienen. El programa de identificación CII de la Fundación Linux y Trust and Security Initiative incorporan la seguridad de la cuenta del desarrollador en sus controles para mitigar estos riesgos.

El último problema es que el código abierto no ha escapado a la maldición del software heredado o software legacy. Los desarrolladores pasan a programas más nuevos o versiones más nuevas de sus programas anteriores, pero muchos programadores todavía dependen del programa anterior. Estos desarrolladores son reacios a moverse cuando el nuevo paquete de reemplazo generalmente hace el mismo trabajo. Esto es especialmente cierto cuando el nuevo componentes viene, como a menudo pasa, con errores de compatibilidad. Para solventa esto los desarrolladores que usan Open Source deben comenzar a abordar los problemas del software legacy, cosa que puede resultar engorrosa o plomiza, pero muy necesaria para mantener la seguridad.

Por lo que se puede ver, los grandes retos de seguridad en el Open Source podrían no estar tanto en los grandes proyectos como en los pequeños. Esto puede recordar un poco a la situación de la seguridad en las empresas, y es que si bien las grandes corporaciones pueden ser objetivos más tentadores o que pueden reportar más beneficios para los actores maliciosos, son las pymes las que tienen las infraestructuras más endebles frente a las ciberamenazas.

Font: MuyLinux