Disponible Zorin OS 15.2, más refinada y actualizada

Ya está disponible Zorin OS 15.2, la nueva versión de la distribución Linux que le quiere disputar el puesto de la más recomendable para los recién llegado de Windows a la mismísima Linux Mint. ¿Buscas una alternativa bonita, sencilla y enfocada al cien por cien en el usuario doméstico de PC? Esta es una candidata a considerar.

Zorin OS 15.2 es la nueva actualización de Zorin OS 15 y Zorin OS 15.1, lo cual es una evidencia en toda regla, pero señalarla nos sirve también para enlazar los artículos que recogen las novedades de ambos lanzamientos, que en conjunto y de manera incremental conforman la versión más ambiciosa hasta la fecha de esta distribución.

Nos ahorramos por lo tanto repetir lo que ya hemos contado y nos centramos en Zorin OS 15.2, que no recibe con demasiadas novedades, pero sí con las suficientes como para fijarnos en ella. Comenzando por la actualización de los componentes base, que son los que trajo Ubuntu 18.04.4 LTS el mes pasado e incluyen como elemento destacado al kernel Linux 5.3, con todas las mejoras de soporte que ello conlleva.

Por lo demás, Zorin OS 15.2 actualiza aplicaciones como LibreOffice (6.3.5.2), GIMP (2.10.14) y otras tantas y hasta ahí llega lo que ofrece este lanzamientos, una actualización de mantenimiento comparable a la mencionada Ubuntu 18.04.4 LTS, con el añadido de las aplicaciones. Es, en definitiva, una renovación del medio de instalación dirigido a nuevas instalaciones, pues los usuarios que la tengan ya instalada y actualizada están servidos.

Si no conoces mucho Zorin OS, nos remitimos a la introducción del artículo: es una distro de usuario final de PC, se basa en Ubuntu, cuenta con un escritorio propio adaptado a partir de GNOME y al ojo tiene muy buena pinta. Te recordamos asimismo que está disponible en cuatro ediciones: Ultimate (de pago y con algunos extras superfluos), Core, Lite y Education. Las que te interesa probar son Core o Lite, esta última con escritorio Xfce.

Según cuentan sus desarrolladores, la actual versión y sus actualizaciones acumulan ya más de 900 000 descargas, la mayoría de las cuales provienen de Windows y Mac «reflejando nuestra misión de llevar el poder de Linux a las personas que nunca antes tuvieron acceso a él». No es para tanto, desde luego, pero más allá del autobombo es una propuesta llamativa.

Entreda: Muylinux

«It’s not just the Linux operating system», dice The Linux Foundation

publicado en: Linux, Software Libre | 0

The Linux Foundation celebra su veinte aniversario este 2020 y lo hace sacando pecho por los éxitos conseguidos, que como recuerdan en un artículo publicado hace un par de días, no se reducen al «sistema operativo Linux».

En este artículo, firmado por Jason Perlow y Michael Dolan, director editorial y vicepresidente de Programas Estratégicos de The Linux Foundation respectivamente, cuentan un poco la historia de Linux y de la propia organización, centrándose en sus inicios y, con mayor detalle, en su presente. Sobre todo en el presente, incidiendo en el impulso que ha supuesto para algunos de los proyectos de código abierto más destacados del momento estar bajo el amparo de The Linux Foundation.

De hecho, dedican prácticamente todo el grueso del texto a reivindicarse como la plataforma de lanzamiento y consolidación más solvente del mundo del código abierto o, como ellos mismos se autodenominan, «la fundación de fundaciones». Por eso inciden también en que «The Linux Foundation no es solo el sistema operativo Linux«, que no hemos traducido en el titular para que se entienda mejor.

Vienen a señalar que aun cuando Linux es la joya de la corona sobre la que pivota casi todo lo demás, son muchos otros los proyectos de código abierto críticos -para el sector tecnológico empresarial y únicamente con fines de negocio, esto no lo especifican- auspiciados por la organización. Y nos les falta razón: brindan soporte a más de 200 proyectos, entre los que se cuentan algunos de los más relevantes a nivel empresarial.

Sin embargo, se echa de menos algo de modestia y rigurosidad en un texto con semejante encabezado, contenido y significado. Quienes nos leéis habitualmente sabéis que no solemos hacer distinción entre Linux y GNU/Linux al referirnos al sistema operativo completo, porque según el contexto en el que se utilice el término es comprensible para el lector mínimamente informado. Tanto da decir distribuciones Linux como GNU/Linux… O es nuestra opinión, mal que le pese a los puristas.

De ahí a calificarlo como «el sistema operativo Linux», tergiversar la historia o relegar los componentes del proyecto GNU con inexactitudes, hay un trecho. En concreto, me refiero a cosas como: «En abril de 1991, mientras era estudiante universitario en la Universidad de Helsinki, Linus Torvalds comenzó un proyecto personal para crear un sistema operativo gratuito»; o: «El kernel de Linux y sus herramientas de espacio de usuario circundantes se han convertido en el sistema operativo de código abierto más popular en todo el mundo».

Hay un trecho porque lo primero es mentira: Torvalds no quería «crear un sistema operativo gratuito»; y lo segundo es directamente de mal gusto: ¿el GNU de GNU/Linux son meras «herramientas de espacio de usuario circundantes»? ¿En serio? No es de extrañar, expresándose así, que los más radicales respondan a tales majaderías con artículos como este, que tampoco comparto… del todo.

Cabe recordar que entre los objetivos fundacionales de The Linux Foundation se determina que «el propósito sin fines de lucro de la organización es «apoyar, promover, proteger y estandarizar Linux y otras tecnologías y software de código abierto», con el cual cumplen escrupulosamente, pero desechar los esfuerzos ajenos sin los que ni siquiera existiría Linux, es muy feo.

Pero, ya que estamos con el veinte aniversario de The Linux Foundation… ¿Alguna mención al escritorio Linux, preguntáis? Linus Torvalds aún lo tiene en mente, pero para The Linux Foundation es una anécdota. Jim Zemlin, director ejecutivo de la organización, está muy contento con su Mac y bien que hace; y para todo lo demás, el escritorio Linux es para The Linux Foundation el de Microsoft, Windows 10, que ya tiene su poquito de Windows metido con calzador.

Entreda: Muylinux

Firefox 75 tendrá grandes mejoras en la aceleración por hardware gracias a Red Hat

El soporte que Mozilla da a GNU/Linux a veces da la sensación de no estar tan bien atendido como el de Windows, y es que la fundación prioriza sus esfuerzos donde tiene la mayor cantidad de usuarios. Ante esa situación, la versión de Firefox para GNU/Linux cuenta desde hace tiempo con un sólido aliado: Red Hat (a veces a través de GNOME).

Sí, es la compañía Linux líder la que está poniendo de su parte para que Firefox no solo no se descuelgue del mayor empuje de Chromium, sino también para ponerlo al día en lo que se refiere a las últimas tecnologías y tendencias dentro del sistema operativo Open Source, con especial mención a Wayland, la aceleración por hardware y el CSD.

Que Red Hat está empecinada en poner Firefox al día es algo que se vio cuando anunció el soporte nativo para Wayland con el lanzamiento de Fedora 31. El soporte para el “nuevo” protocolo (o servidor cuando se quiera allanar el lenguaje) gráfico no solo pretende ser una mera integración, sino que intenta que venga acompañado de un mejor aprovechamiento de la aceleración por hardware, un punto en el que el navegador de Mozilla se encuentra un par de pasos por detrás de Chromium, sobre todo en GNU/Linux.

En el código de Firefox 75 se ha fusionado recientemente nuevos parches para añadir soporte de aceleración por hardware mediante VA-API en conjunción con FFmpeg cuando se use el navegador sobre Wayland. Esta característica llega meses después de incorporar el soporte de textura DMA-BUF, que permite compartir buffers entre el proceso principal y el compositor, trabajando directamente en la memoria de la GPU cuando el compositor de OpenGL está habilitado. La habilitación de VA-API en conjunción con FFmpeg requiere de activar WebRender u OpenGL como compositor y DMA-BUF para VA-API.

Por otro lado, Martin Stránský, el empleado de Red Hat que está trabajando en el soporte de Wayland para Firefox, también ha comentado en su blog que la versión 75 del navegador tendrá soporte completo de WebGL sobre Wayland como una opción adicional, la cual muy probablemente tenga que ser habilitada a través de la áspera sección about:config.

Por ahora Red Hat (más que Mozilla) está centrando sus esfuerzos de soporte de aceleración por hardware en Intel, aunque esperemos que todo ese trabajo no sea difícil de adaptar a AMD y NVIDIA (al menos en lo que respecta a Mesa). Por otro lado, esto no quiere decir que los soportes de WebGL y de textura DMA-BUF vayan a estar habilitados por defecto en Firefox 75, que tendría que ser publicado como estable durante la primera mitad de abril de 2020.

Viendo que el soporte de Wayland avanza muy despacio, Red Hat parece haber tomado cartas en el asunto para acelerar su adopción. A título personal, mientras la compañía del sombrero rojo no le meta mano a la captura del escritorio (screencast), con OBS Studio y SimpleScreenRecorder al frente, no puedo plantearme el uso de Wayland.

Entreda: Muylinux

La Unión Europea apuesta por Signal para mejorar la confidencialidad de las comunicaciones

publicado en: Software Libre | 0

La Comisión Europea ha tomado la decisión de recomendar la utilización de Signal para asegurar la confidencialidad de las comunicaciones entre sus miembros.

Las razones por las que las Comisión Europea ha tomado la decisión de usar Signal derivan en buena medida por la transparencia que ofrece dicho servicio de mensajería frente a alternativas como WhatsApp y Telegram. El primero, aunque su protocolo se basa en el de Signal, es software privativo, mientras que el segundo, según el medio Politico“se enfrenta a preocupaciones similares por la falta de transparencia sobre cómo funciona su cifrado”, ya que su servidor es privativo.

Signal es un servicio de mensajería con cifrado de extremo a extremo software libre tanto a nivel del cliente como del servidor. El hecho de haberse centrado fuertemente en la privacidad y su alto nivel de transparencia le ha granjeado muchos adeptos, sobre todo entre activistas políticos y periodistas que trabajan en países donde los derechos fundamentales son reprimidos. Su desarrollo es responsabilidad de Signal Foundation, una fundación sin ánimo de lucro que arrancó fuerte gracias a los 50 millones de dólares donados por Brian Acton, cofundador de WhatApp y todo un exponente de directivo de gran empresa arrepentido que desde hace tiempo defiende la privacidad.

Volviendo a las razones de la apuesta por Signal por parte de la Comisión Europea, el origen también podría estar en que el sistema empleado por la Unión Europea no estaría dando los resultados deseados: “En diciembre de 2018, la firma de investigación de seguridad cibernética Area 1 Security dijo que descubrió que miles de cables diplomáticos se descargaron del sistema COREU (o cortesía) de la UE, que utilizan los gobiernos nacionales y las instituciones de la UE para intercambiar información diaria sobre política exterior”, explica Politico.

En otro incidente descubierto en junio del pasado año, “la delegación de la UE en Moscú había sufrido lo que parecía ser una violación de seguridad cibernética en 2017, con dos computadoras presuntamente hackeadas para robar información diplomática. La Comisión dijo que estaba investigando el tema e informó a sus principales diplomáticos.”

La Unión Europea se encuentra ahora en proceso de crear un nuevo borrador sobre el que se plasmará su nueva estrategia de ciberseguridad, mediante el cual se podría proponer la creación de una unidad conjunta de ciberseguridad para apoyar a los países y organizaciones de la Unión Europea en caso de recibir estos un ciberataque. Además, los funcionarios de la Comisión Europea ya están obligados a cifrar los correos electrónicos con información confidencial no clasificada, existiendo normas de seguridad todavía más estrictas para la información clasificada.

En resumidas cuentas, parece que la Unión Europea necesita renovar sus protocolos y sistemas de ciberseguridad para proteger sus datos. Por otro lado, y a pesar de que el servidor y el cliente son software libre, Signal funciona de forma centralizada, por lo que a la Unión Europea posiblemente le hubiera convenido más apostar por Matrix, que ofrece la posibilidad de tener una infraestructura de comunicación descentrazliada.

Entreda: Muylinux

Let’s Encrypt ya ha emitido mil millones de certificados

publicado en: Software Libre | 0

Let’s Encrypt ya ha emitido mil millones de certificados HTTPS (SSL/TLS). La autoridad, que inició su andadura hace cinco años, se propuso como objetivo ayudar a cifrar la Web y lo están consiguiendo de más de una forma.

Auspiciada por organizaciones como Mozilla Foundation o Electronic Frontier Foundation, Let’s Encrypt entró a formar parte de los proyectos de The Linux Foundation, aunque actualmente se encuentra bajo el paraguas del Internet Security Research Group, al que apoyan muchos otros patrocinadores como Google, Facebook, Cisco, OVH y otras tantas grandes compañías tecnológicas.

La esencia con la que surgió Let’s Encrypt era sencilla y se mantiene a día de hoy: facilitar la emisión de certificados de cifrado para páginas web, algo que hicieron de la única manera posible: gratuitamente y mediante tecnologías abiertas. Desde entonces, las autoridades de certificación ya asentadas se han flexibilizado y una mayoría de los proveedores de servicios de Internet incluyen Let’s Encrypt en su oferta.

Las desventajas iniciales de Let’s Encrypt, como la validez limitada de sus certificados o la implementación de los mismos, se ha facilitado con diferentes herramientas que automatizan la tarea y el resto es historia: en 2015 emitieron su primer certificado -cuando el servicio todavía no había salido de beta-, mientras que el año pasado la cifra ascendía al millón diario que les lleva ahora a celebrar el hito de los mil millones.

Entreda: Muylinux

Un estudio de Red Hat muestra la creciente importancia del Open Source en las empresas

publicado en: Linux, Software Libre | 0

Que el software Open Source se está abriendo camino en las grandes empresas en detrimento de las soluciones privativas es algo que se sabe desde hace años, una tendencia que, lejos de retroceder, ha sido a más en los últimos tiempos, o eso es al menos lo que refleja Red Hat a través de su informe sobre “El estado del Open Source empresarial”.

Que el Open Source tenga una gran presencia en los departamentos TI de muchas corporaciones es algo que ya no sorprende a nadie, más viendo que, por ejemplo, Linux acapara en estos momentos el 100% de la lista TOP500 de las supercomputadoras más rápidas del mundo. De hecho, el Open Source es en la actualidad el centro de innovación que acelera el desarrollo de industrias enteras y crea estándares de facto con beneficios prácticos para desarrolladores, profesionales y consumidores, por lo que su utilización e impulso por parte de las mayores compañías del mundo es algo que ha vuelto habitual, incluso por parte de aquellos que en tiempos pasados mostraban sus reservas.

Para elaborar el informe, Red Hat ha entrevistado a 950 líderes de TI en cuatro regiones a nivel mundial, todos ellos profesionales familiarizados con el código abierto empresarial y que tienen al menos un 1% de Linux instalado en sus organizaciones. Con el fin de ofrecer unos resultados honestos, no todos los encuestados han sido clientes de Red Hat y ninguno sabía que dicha compañía era uno de los patrocinadores del estudio.

Antes de entrar en detalles, las conclusiones principales que se pueden extraer del estudio es que el Open Source empresarial tiene un papel estratégico cada vez más importante en detrimento de las soluciones privativas, que el Open Source empresarial y la computación de la nube están yendo de la mano (cosa normal viendo el peso de proyectos como Kubernetes y Docker), los líderes TI eligen el código abierto empresarial debido a la mayor calidad del software y que la seguridad es la principal razón de por qué los líderes de TI usan Open Source empresarial.

El Open Source es muy importante en las empresas

Red Hat ha hecho hincapié en que los resultados plasmados en el informe ponen en evidencia la importancia del Open Source, ya que el 95% de los encuestados respondió que es importante (en comparación con el 86% del año pasado) para la estrategia general de software de la infraestructura de sus organizaciones. Por otro lado, el 86% de los entrevistados ha señalado que el Open Source empresarial ha sido adoptado por las empresas más innovadoras.

Viendo la tendencia al alza, se estima que el uso del Open Source empresarial aumente en los próximos dos años al mismo tiempo que disminuye el de soluciones privativas. Esto queda plasmado en el hecho de que el año pasado el 55% respondió que el software utilizado en sus organizaciones era privativo, un porcentaje que se ha reducido al 42% este año.

Los encuestados han pronosticado que el uso de software privativo descenderá en los próximos dos años hasta el 32%, mientras que el de Open Source subiría del 36 al 44 por ciento durante el transcurso del mismo periodo de tiempo.

Open Source y nube híbrida, dos conceptos que están muy unidos

La computación en la nube (o cloud computing) se ha convertido en unos de los pilares más importantes de las infraestructuras TI actuales, y su crecimiento está estrechamente vinculado al Open Source. En el estudio llevado a cabo por Red Hat el 63% de los líderes de TI entrevistados respondieron que sus empresas cuentan con una infraestructura de nube híbrida. Del 37% restante que todavía no la tiene, el 54% espera instalarla en los próximos dos años.

El impulso de la nube híbrida responde al motivo de que no todas las cargas de trabajo se adaptan bien a los entornos de nubes públicas. El enfoque de nube híbrida que abarca desde el edge y al bare metal hasta múltiples nubes públicas (multicloud) puede ofrecer la mayor cantidad de opciones y flexibilidad a los usuarios finales. El 83% de los líderes de TI ha resaltado además que el Open Source empresarial ha sido fundamental en la capacidad de su organización para aprovechar las arquitecturas de la nube.

Beneficios y ámbitos de uso

Que el Open Source haya pasado de centrarse en intentar ofrecer soluciones más competitivas con respecto al coste a liderar la innovación es otro de los puntos que han quedado en evidencia en el informe de Red Hat. Si antes las corporaciones apostaban por el Open Source por ser una opción más rentable, hoy en día ese factor no es el más determinante. Los encuestados reconocieron la mejor calidad del software (33%) como la principal razón por la que eligieron el código abierto, seguida de un menor coste total (30%) y una mayor seguridad (29%).

 

Por último, se ha observado una mayor presencia de Open Source en áreas asociadas históricamente con aplicaciones privativas. Los líderes de TI entrevistados señalaron que los tres primeros lugares en la infraestructura donde se utilizan hoy en día las soluciones empresariales Open Source son la seguridad (52%), las herramientas de gestión de la nube (51%) y las bases de datos (49%).

Font: MuyLinux

Proton 5.0 ya está aquí para facilitar la ejecución de juegos de Windows en Linux

 

Valve ha anunciado la publicación de Proton 5.0, la última versión de la capa de compatibilidad que permite jugar a títulos de Windows en GNU/Linux y Mac y que se activa a través de la característica Steam Play.

Afortunadamente Valve se está tomando en serio lo de mejorar la compatibilidad de los juegos con GNU/Linux, cosa que se nota en los muchos esfuerzos que realiza al respecto. Sobre Proton 5.0, lo primero que destaca es la actualización al reciente Wine 5, la última versión de la reimplementación software libre de las API de Windows (emulador de Windows para los usuarios básicos) que destaca por la inclusión de nuevos módulos y muchas bibliotecas DLL en formato PE, favoreciendo así la portabilidad de las aplicaciones. En total se le han aplicado más de 3.500 cambios con respecto a la versión anterior, además que 207 parches procedentes de Proton 4.11 han sido actualizados o ya no son necesarios.

Los juegos que hacen uso de Direct3D 9 se ejecutarán con DXVK por defecto. Esta es otra característica heredada de la fusión con D9VK producida en diciembre del año pasado. Es importante tener en cuenta que DXVK está en fase de mantenimiento, así que posiblemente ya no reciba más cambios revolucionarios. Aquellos que prefieran la renderización sobre OpenGL ofrecida por Wine pueden añadir “PROTON_USE_WINED3D” (sin comillas) en los parámetros de lanzamiento del juego que quieran ejecutar con Steam Play.

Proton 5.0 también mejora la integración con el cliente de Steam para aumentar las posibilidades de éxito en la ejecución de títulos que hacen uso de Denuvo, el polémico DRM que es detestado por muchos jugadores. Entre los títulos mencionados por Valve están Just Cause 3, Batman: Arkham Knight y Abzu, aunque la lista tendría que ser más larga (NieR Automata es otro destacado juego que usa Denuvo).

A partir de ahora Proton informará sobre la disponibilidad de nuevas versiones del sistema operativo que podrían ser necesarias para la correcta ejecución de los juegos recientes, así que en esa situación los entornos de Proton no se actualizarán de forma automática.

Por último, y como herencia de Wine 5, Proton 5.0 incluye soporte en fase inicial para multimonitor y se ha mejorado el sonido envolvente en los juegos antiguos.

Qué es Proton o Steam Play

Aparte de lo explicado en el primer párrafo de este artículo, se trata de una de las grandes esperanzas en lo que se refiere a la ejecución de videojuegos en GNU/Linux.

Entrando en detalles más específicos, básicamente es un Wine precocinado para la ejecución de videojuegos de Windows. Esto quiere decir que la intención de Valve es que el soporte sea lo más desatendido posible, o dicho de otra manera, que los juegos sean instalados y jugados sin más pasos adicionales. Sin embargo, todavía quedan muchos pasos por dar hasta verlo totalmente maduro, pero es obvio que los avances han sido muchos y constantes desde el lanzamiento inicial hace más de un año.

Además de Proton, Valve también se encuentra trabajando en el copilador de shaders ACO, el cual dentro de poco tendría que masificarse a través de Mesa al poder ser usado junto con RADV, el driver de Vulkan para gráficas de AMD.

¿Y tú, quieres jugar a tus juegos de Windows en GNU/Linux o Mac? Solo tienes que dirigirte a la correspondiente sección en los Parámetros del cliente de Steam, activarlo y reiniciar la aplicación. Si tienes dudas sobre qué juegos funcionan correctamente, puedes consultar ProtonDB, donde los voluntarios evalúan su experiencia con los juegos de Windows ejecutados desde GNU/Linux.

Font: MuyLinux

Microsoft lanza Azure Sphere, su propio Linux para el IoT

Azure Sphere es el primer sistema basado en Linux desarrollado por Microsoft, está diseñado para el Internet de las cosas (IoT) y tras casi dos años en el horno, acaba de ver la luz, según informan en The Register.

Azure Sphere se anunció en abril de 2018 y con bastante bombo, pues se le llegó a denominar como «el primer Linux de Microsoft». No es tal cosa. O no lo es del todo. Para cuando se supo de Azure Sphere, Microsoft ya llevaba tiempo trabajando en la implementación de Windows Subsystem for Linux (WSL) en Windows 10 y antes había dado a conocer Azure Cloud Switch, otro proyecto basado en Linux que también se extendió mediáticamente como la primera distribución Linux de Microsoft, aunque lo cierto es que se trata de una aplicación específica con enfoque de uso interno.

Con todo, Azure Sphere sí que puede ser considerado como el primer sistema operativo completo de Microsoft basado en Linux, por más que no se vaya a distribuir así como así. Su nombre no lleva a engaño y según lo presentan es «una solución integral de seguridad de IoT que incluye hardware, sistema operativo y componentes en la nube, para proteger activamente sus dispositivos, su empresa y sus clientes». Ergo, esto no es competencia para los GNU/Linux diseñado para el IoT, sino una herramienta intrínsecamente ligada a Azure, la plataforma de servicios en la nube de Microsoft.

Como recogimos entonces, Azure Sphere se centra en la creación de dispositivos «MCU (dispositivos con microcontroladores IoT con todos los componentes (CPU, RAM, ROM…) necesarios para su conexión) altamente seguros y conectados a Internet» desarrollados en torno a tres componentes básicos:

  • Microcontroladores certificados Azure Sphere (MCU), un nuevo tipo de chips que combinan el proceso de aplicaciones en tiempo real con conectividad y seguridad desarrollado por Microsoft que surge, entre otras cosas, de las experiencia de la compañía con Xbox.
  • Azure Sphere OS, un nuevo sistema operativo diseñado de acuerdo a la protección por capas mencionada, basado en los avances de Microsoft y construido con «un kernel de Linux personalizado para crear un entorno de software altamente seguro y una plataforma confiable para las nuevas experiencias de IoT».
  • Servicio de seguridad de Azure Sphere, un servicio en la nube dedicado a la protección de los dispositivos que hagan uso de Azure Sphere el cual contempla medidas de protección «de dispositivo a dispositivo y de dispositivo a nube a través de autenticación basada en certificados, detección de amenazas de seguridad y actualizaciones de software».

Toda la información en la página oficial de Azure Sphere.

En resumen, Microsoft sigue nutriendo de soluciones el área de negocio que más réditos les está dando, y no es ni Xbox, ni Windows ni Office (aunque esta última también les va bastante bien), sino los servicios profesionales ligados a Azure. La semana pasada tuvimos otro ejemplo en este sentido con el anuncio de Microsoft Defender para Linux, aunque no es tal y como suena y se reduce, de nuevo, a Azure.

Font: MuyLinux

The Linux Foundation identifica los componentes Open Source más utilizados para mejorar su seguridad

The Linux Foundation ha publicado su informe Census II, con el pretende identificar “los componentes de software libre y de código abierto (FLOSS) más utilizados en aplicaciones de producción y comenzar a examinarlos para detectar posibles vulnerabilidades.”

Census II es el primer estudio importante de este tipo, pero no es un análisis final. Siendo más concretos, da los primeros pasos importantes y presenta una metodología para comprender y abordar las complejidades estructurales y de seguridad del software Open Source, además de identificar lo que se ha mencionado en el párrafo anterior.

¿Cuáles son los proyectos Open Source más populares?

Para la elaboración del informe, Core Infrastructure Initiative (CII) y el Laboratorio para Ciencia de Innovación de Harvard (LISH) han unido sus fuerzas con empresas de seguridad como Snyk y Synopsys Cybersecurity Research Center para combinar datos de uso privado con otros públicamente para identificar más de 200 de los proyectos de software Open Source más utilizados, los cuales han sido divididos en dos categorías: los que se basan en JavaScript y los que no. Los primeros cobran especial relevancia debido al ecosistema NPM, que contiene decenas de componentes que han sido escritos con unas pocas decenas de líneas de código de JavaScript y en muchos casos sin que haya funciones declaradas. Curiosamente, aquí no se encuentran pedazos de software populares como podrían serlo Linux, Apache y MySQL, por nombrar tres ejemplos socorridos.

Además, y siguiendo la línea del informe publicado hace poco por Red Hat, se recalca la cada vez mayor importancia del FLOSS en el mundo empresarial. Frank Nagle, profesor de la Escuela de Negocios de Harvard y codirector del informe Census II, ha comentado que “el FLOSS fue visto por mucho tiempo como el dominio de los aficionados y manitas de la computación. Sin embargo, ahora se ha convertido en un componente integral de la economía moderna y fundamental de las tecnologías cotidianas como teléfonos inteligentes, automóviles, Internet de las cosas y numerosas piezas de infraestructura crítica. Comprender qué componentes son los más utilizados y los más vulnerables nos permitirá ayudar a garantizar la salud continua del ecosistema y la economía digital.”

Aunque los grandes proyectos suelen acaparar el protagonismo, el hecho de no poner un ojo supervisando proyectos aparentemente más pequeños puede terminar teniendo consecuencias catastróficas. Esto se vio hace unos años con el caso de Heartbleed, la vulnerabilidad hallada en OpenSSL que dejó en pañales toda la web. Dicha situación obligó a mover fichas para que la biblioteca criptográfica tuviera un mantenimiento y una supervisión correctos, ya que el código abierto no proporciona seguridad de por el hecho de serlo, si bien la mayor transparencia ayuda en la detección de vulnerabilidades y permite auditar código sin compromisos.

A pesar de que el Open Source lleva tiempo intentando penetrar en el mercado de masas, donde tiene actualmente su principal nicho es en los desarrolladores, que muchas veces descubren un software y luego deciden descargarlo e implementarlo en los prototipos de sus proyectos. Aquí es importante tener en cuenta el ecosistema de NPM, donde el 47% de los paquetes tienen entre 0 y 1 funciones, siendo la media del total 112 líneas de código en JavaScript. Esto no solo pone de relieve el pequeño tamaño de los proyectos con los que suelen trabajar muchos desarrolladores, sino que contrasta con las 2.232 líneas de código que tiene de media un módulo de Python alojados en el repositorio PyPI. Sin más dilación, vamos a mencionar los componentes de software Open Source más utilizados en cada una de las categorías establecidas por el estudio.

Programas de JavaScript más usados:

  • Async: Un módulo de utilidad que proporciona funciones para trabajar con JavaScript asíncrono. Aunque originalmente se diseñó para ser uado con Node.js y se puede instalar a través del comando “npm install async”, es posible usarlo directamente en el navegador.
  • Inherits: Herencia amigable con el navegador totalmente compatible con las herencias del node.js estándar.
  • Isarray: Matriz para navegadores más antiguos y versiones obsoletas de Node.js.
  • Kind-of: Obtiene el tipo nativo de JavaScript de un valor.
  • Lodash: Una moderna biblioteca de utilidades de JavaScript que ofrece modularidad, rendimiento y extras.
  • Minimist: Opciones de argumento de análisis.
  • Natives: Llama a los módulos JavaScript nativos de Node.js.
  • Qs: Una biblioteca de parseo y conversación a string de cadenas de consulta con cierta seguridad adicional
  • Readable-stream:: Flujos principales de Node.js para el espacio de usuario.
  • String_decoder:: Node-core string_decoder para el espacio de usuario.

Los componentes más usados que no están hechos con JavaScript:

  • Com.fasterxml.jackson.core:jackson-core: Una parte central de Jackson, un procesador JSON (JavaScript Object Notation) que define la API Streaming y las abstracciones básicas compartidas.
  • Com.fasterxml.jackson.core:jackson-databind: Paquete general de enlace de datos para Jackson (2.x). Funciona en implementaciones de API de transmisión.
  • Com.google.guava:guava: Bibliotecas principales de Google para Java.
  • Commons-codec: El software Apache Commons-Codec proporciona implementaciones de codificadores y decodificadores comunes como Base64, Hex, Fonética y URL.
  • Commons-io: Commons IO es una biblioteca de utilidades para ayudar con el desarrollo de la funcionalidad entrada-salida.
  • Httpcomponents-client: El proyecto Apache HttpComponents es un conjunto de herramientas de componentes Java de bajo nivel centrados en HTTP y protocolos asociados.
  • Httpcomponents-core: Lo mismos que el anterior.
  • Logback-core: El marco de registro confiable, genérico, rápido y flexible para Java.
  • Org.apache.commons: commons-lang3: Un paquete de clases de utilidad Java para las clases que están en la jerarquía de java.lang, o que se consideran tan estándar como para justificar la existencia en java.lang.
  • Slf4j: Fachada de registro simple para Java.

 

 

Los principales problemas en el Open Source

Los investigadores tras el informe descubrieron que el mito del desarrollador único de código abierto que trabaja por amor al arte es solo eso: un mito. Un programador puede comenzar en casa, pero no se queda ahí a menos que le guste su oficina en casa. En lugar de eso, lo que se plasma en el informe Census II es una alta correlación entre estar empleado y ser uno de los principales contribuyentes a los paquetes FOSS más populares.

El punto expuesto en el párrafo anterior tampoco es que sea una sorpresa, sino que ya se ha visto en otras ocasiones, como por ejemplo en GitHub, donde un porcentaje importante de los contribuidores a los proyectos más relevantes proceden de grandes corporaciones como Microsoft. No, el Open Source ya no es un “movimiento rebelde”, sino que se ha consolidado como un motor importante de muchas grandes empresas del mundo.

Por otro lado, los investigadores han encontrado diversos problemas comunes entre en los componentes Open Source. El primero de estos es la falta de un esquema de nomenclatura estandarizado para los componentes de software, que hace que el seguimiento de estos programas sea un gran problema.

The Linux Foundation y sus socios creen que existe una “necesidad crítica de crear un esquema de denominación de componentes de software estandarizado. Hasta que exista, las estrategias para la seguridad del software, la transparencia y más tendrán un efecto limitado. Las organizaciones seguirán siendo categóricamente incapaces de comunicarse entre sí”, algo a lo que suma “la frecuencia y la sofisticación crecientes de los incidentes de ciberseguridad en los que la cadena de suministro de software juega un papel importante.”

El segundo problema es que muchos de estos programas viven de la mano de desarrolladores individuales“De los diez paquetes de software más utilizados en nuestro análisis, el equipo de CII descubrió que siete estaban alojados en cuentas de desarrolladores individuales”. ¿Qué sucede si una de estas cuentas es hackeada? Lastimosamente, aquí hay ejemplos de proyectos que han acabado mal debido al hackeo de la cuenta de sus propietarios, que eran personas individuales.

Por ejemplo, un programa de Node.js llamado left-pad fue eliminado por su desarrollador, provocando que miles de programas JavaScript npm fallaran. Otro ejemplo fue el hecho de que un hacker obtuvo acceso a la popular biblioteca de JavaScript Event-Stream y colocó una puerta trasera en el código. Luego agregó código malicioso en la biblioteca, lo que le permitió robar Bitcoin.

Está claro que las cuentas de desarrolladores individuales necesitan más protección de la que tienen. El programa de identificación CII de la Fundación Linux y Trust and Security Initiative incorporan la seguridad de la cuenta del desarrollador en sus controles para mitigar estos riesgos.

El último problema es que el código abierto no ha escapado a la maldición del software heredado o software legacy. Los desarrolladores pasan a programas más nuevos o versiones más nuevas de sus programas anteriores, pero muchos programadores todavía dependen del programa anterior. Estos desarrolladores son reacios a moverse cuando el nuevo paquete de reemplazo generalmente hace el mismo trabajo. Esto es especialmente cierto cuando el nuevo componentes viene, como a menudo pasa, con errores de compatibilidad. Para solventa esto los desarrolladores que usan Open Source deben comenzar a abordar los problemas del software legacy, cosa que puede resultar engorrosa o plomiza, pero muy necesaria para mantener la seguridad.

Por lo que se puede ver, los grandes retos de seguridad en el Open Source podrían no estar tanto en los grandes proyectos como en los pequeños. Esto puede recordar un poco a la situación de la seguridad en las empresas, y es que si bien las grandes corporaciones pueden ser objetivos más tentadores o que pueden reportar más beneficios para los actores maliciosos, son las pymes las que tienen las infraestructuras más endebles frente a las ciberamenazas.

Font: MuyLinux

Collabora Office para Android e iOS

Collabora Office para Android e iOS ha estrenado sus nuevas aplicaciones y ya no se trata de un mero visor, sino de una suite ofimática completa de código abierto con la que editar tus documentos en el móvil.

Por si te has perdido, Collabora es un compañía británica especializada en código abierto y metida en numerosos proyectos bien conocidos, entre los que se incluye LibreOffice. Así, cuando hablamos de Collabora Office nos referimos tanto a las versiones de LibreOffice para la nube (LibreOffice Online) como, en el caso que nos ocupa, las aplicaciones móviles.

Aunque The Document Foundation sigue teniendo presencia en las tiendas de aplicaciones de Google y Apple, es mínima y ha quedado relegada en favor de Collabora, su principal colaboradora (ya sabes de dónde viene su nombre) y la encargada de publicar las aplicaciones ofimáticas más allá del escritorio de PC.

Collabora Office, de hecho, reemplaza a LibreOffice Viewer, que desde su lanzamiento hace casi cinco años, apenas había avanzado.

Collabora Office para Android e iOS

Collabora Office para Android e iOS es, ahora sí, lo que esperabas de una suite de código abierto para el móvil con la que no solo podrás visualizar, sino también editar documentos de texto, hojas de cálculo y presentaciones, todo desde una misma aplicación.

Collabora Office para Android e iOS utiliza el mismo código de LibreOffice para PC e implementa su propia interfaz, diseñada para adaptarse al tamaño de la pantalla y al manejo táctil, basada en Collabora Online. En cuanto a compatibilidad, soporta los siguientes formatos de documentos:

  • Open Document Format (.odt, .odp, .ods, .ots, .ott, .otp)
  • Microsoft Office 2007/2010/2013/2016/2019 (.docx, .pptx, .xlsx, .dotx, .xltx, .ppsx)
  • Microsoft Office 97/2000/XP/2003 (.doc, .ppt, .xls, .dot, .xlt, .pps)

Del resto de sus características señalan su riqueza en funciones, destacando una función de copiar y pegar «muy superior a la de la competencia», así como «una experiencia de usuario pulida y un gran diseño». Por el contrario, el las descripciones de la aplicación advierten que se trata de un desarrollo activo que aún tiene que mejorar.

Os puedo adelantar que la he estado probando y a pesar de que en cuestión de usabilidad no llega el nivel de Google Docs o Microsoft Office, está mucho mejor de lo que me esperaba. Le falta añadir y ordenar las opciones de gestión y configuración y pulir un poco más el flujo de trabajo, pero promete.

De hecho, se queda instalada en mi Android, y es que como dicen en el anuncio de lanzamiento, Collabora Office para Android e iOS «incluye la libertad de decidir dónde almacenar los documentos que editas desde tu dispositivo móvil«, ya sea sincronizándolos en el servicio que quieras o dejándolos donde están, en el almacenamiento del móvil.

Collabora Office para Android e iOS se suma como nuevo producto a las suscripciones de pago de Collabora Office, pero al igual que sucede con CODE, la versión comunitaria de la suite en la nube, las apps móviles son totalmente gratuitas.

Font: MuyLinux