Tag open source

El FLISoL es el evento de difusión de Software Libre más grande en Latinoamérica y está dirigido a todo tipo de público: estudiantes, académicos, empresarios, trabajadores, funcionarios públicos, entusiastas y aun personas que no poseen mucho conocimiento informático.

Este año 2025 se llevó a cabo en varias ciudades de Ecuador, entre ellas Latacunga en la Universidad Técnica de Cotopaxi donde fuimos participes con el tema»NextCloud y Formatos abiertos». Quedamos agradecidos por el momento excepcional y profesional que la pasamos con el personal docente de la carrera de Sistemas de Información y el resto de conferencistas entre ellos; Katherine Rovayo, Ricardo Serrano, Ola Bini y Alex Aconda.

«La sacaron del estadio» ⚽️

Fuente: www.fayerwayer.com

La firma Tidelift ha publicado a través de un informe los resultados de una encuesta que ha realizado a mediados de año y en la que han participado más 400 mantenedores de código abierto. De todos los datos que contiene dicho informe, lo que posiblemente más destaque sea el hecho de que muchos mantenedores siguen viviendo en la precariedad.

A la pregunta de si los mantenedores de código abierto son pagados por su trabajo, el 60% dijo que no, con un 16% que respondió “soy un aficionado no remunerado y no quiero que me paguen por mantener proyectos” y un 44% que confesó ser “un aficionado no remunerado”, pero que agradecería que le pagaran por mantener proyectos. Un 24% dijo que era un mantenedor semiprofesional que ganaba algún dinero manteniendo proyectos y un 12% que eran profesionales cuyo ingreso principal es el mantenimiento de proyectos.

Como vemos, no todo el mundo tiene la intención de ganar dinero con el mantenimiento de proyectos, ya sea porque lo hacen solo por pasión o porque no ven ninguna vía para generar ingresos. Tidelift lamenta aquí que “las cosas no han cambiado, especialmente en el año del ataque a las utilidades de XZ y con un mayor enfoque tanto de los gobiernos como de las organizaciones en la importancia de la cadena de suministro de software segura. Este es un hallazgo digno de ser publicado (y decepcionante)”.

Fuente: Tidelift

Que la situación de los mantenedores no remunerados sea más precaria no solo afecta en lo económico, sino también en los medios disponibles para realizar la tarea. Aquí nos encontramos con que el 61% de los mantenedores no remunerados trabajan solos, mientras que el 53% de los remunerados, sumando los profesionales y los semiprofesionales, tienen dos o más compañeros con los que puede repartir la carga.

Fuente: Tidelift

A pesar de las diferentes circunstancias que afrontan los mantenedores remunerados y los que no, no muestran diferencias muy radicales en lo que respecta al tiempo que dedican a las distintas tareas. La mayor diferencia es que el mayor tiempo que emplean los no remunerados en la creación de nuevas características es invertido por los remunerados en tareas como la seguridad, el mantenimiento del día a día y la búsqueda de patrocinadores o de apoyo económico. Esto no tiene por qué significar que los proyectos de mantenedores remunerados tengan menos empuje a la hora de introducir novedades, sino que esto es algo que tiene que ser entendido en términos proporcionales.

Fuente: Tidelift

Los mayores medios con los que suelen contar los mantenedores remunerados les permite, según los resultados publicados en el informe de Tidelift, implementar más prácticas de seguridad que los no remunerados. La medida de seguridad más implementada en ambos casos es la autenticación en dos factores, la cual está seguida por el análisis de código estático, la proporción de correcciones y recomendaciones para vulnerabilidades, el plan de divulgación sobre cómo se debe contactar en torno a los problemas de seguridad y la gestión de secretos.

Fuente: Tidelift

Como último punto que se puede destacar, es que, cuanto más se le paga a un mantenedor, más trabajará en el código abierto. El 82% de los mantenedores profesionales le dedican más de 20 horas a la semana, el 51% de los profesionales dedican diez horas o menos y el 78% de los mantenedores no remunerados dedican diez horas o menos a sus proyectos. Aquí no hay nada que no se pueda explicar a través de la lógica: si te pagan medianamente bien por algo que te motiva, te implicas más.

Fuente: Tidelift

Y estos son los datos más interesantes en torno a la situación de los mantenedores remunerados y los que no según lo que desprende el informe de Tidelift. A pesar de que hay un porcentaje significativo que cobra por su trabajo, es innegable que la precariedad sigue siendo algo que está muy presente, y viendo episodios como la puerta trasera introducida en XZ, posiblemente sea el momento de poner sobre la mesa ciertas cuestiones que contribuyan a mejorar la sostenibilidad del ecosistema del código abierto. Los que quieran toda la información pueden obtenerla descargando el informe completo.

Imagen de portada generada con inteligencia artificial.

Fuente: www.muylinux.com

¿Te preocupa tu acceso a Telegram y tu privacidad? Esto es lo que deberías hacer en este momento.

En el momento en que redactamos este artículo, Pavel Durov, tras haber sido detenido en Francia, ha sido puesto en libertad bajo una fianza de 5 millones de euros y se le ha prohibido salir del país. No está nada claro cómo pueden desarrollarse los acontecimientos en el plano judicial, pero mientras tanto, los estafadores ya están explotando la atención masiva y el pánico que rodea a Telegram, y circulan muchos consejos dudosos en redes sociales sobre qué hacer con la aplicación ahora. Nuestra opinión es clara: los usuarios de Telegram deben mantener la calma y actuar únicamente en virtud de los hechos que se conocen hasta ahora. Si entramos en detalles, veamos qué podemos recomendar actualmente…

Privacidad de los chats y las “claves de Telegram”

En pocas palabras, la mayoría de los chats en Telegram no se pueden considerar confidenciales; y esto siempre ha sido así. Si has intercambiando información confidencial en Telegram sin utilizar chats secretos, debes asumir que se ha visto comprometida.

Muchos medios de comunicación apuntan a que la principal denuncia contra Durov y Telegram es su negativa a cooperar con las autoridades francesas y a facilitar las “claves de Telegram”. Supuestamente, Durov posee algún tipo de claves criptográficas que se pueden usar para leer los mensajes de los usuarios. En realidad, pocas personas saben realmente cómo se estructura el servidor de Telegram, pero a partir de la información disponible se sabe que la mayor parte de la correspondencia se almacena en servidores en forma mínimamente cifrada, es decir, las claves de descifrado se almacenan dentro de la misma infraestructura de Telegram. Los creadores afirman que los chats se almacenan en un país, mientras que las claves se almacenan en otro, pero si tenemos en cuenta que todos los servidores se comunican entre sí, no está claro hasta qué punto es efectiva esta medida de seguridad en la práctica. Resultaría útil si se confiscaran los servidores situados en un país, pero eso es todo. El cifrado de extremo a extremo, una función estándar en otros servicios de mensajería como WhatsApp, Signal e incluso Viber, se denomina “chat secreto” en Telegram. Está algo oculto en un lugar discreto de la interfaz y hay que activarlo manualmente para los chats personales seleccionados. Los chats de grupo, canales y la correspondencia personal estándar carecen de cifrado de extremo a extremo y se pueden leer, al menos en los servidores de Telegram. Además, tanto para los chats secretos como para los demás, Telegram utiliza su propio protocolo no estándar, MTProto, que contiene serias vulnerabilidades criptográficas, según se ha descubierto. Por lo tanto, los mensajes de Telegram teóricamente pueden ser leídos por:

• Administradores de los servidores de Telegram
• Piratas informáticos que logren acceder a los servidores de Telegram e instalen spyware
• Terceros con algún tipo de acceso otorgado por administradores de Telegram
• Terceros que hayan descubierto alguna vulnerabilidad criptográfica en los protocolos de Telegram y que puedan leer (selectivamente o en su totalidad) al menos los chats no secretos interceptando el tráfico de algunos usuarios

Eliminar los mensajes

Se ha recomendado a algunos tipos de usuarios que eliminen los chats antiguos en Telegram, como los relacionados con el trabajo. Este consejo parece cuestionable, ya que en las bases de datos (donde se almacenan los mensajes en el servidor), las entradas rara vez se eliminan; sino que simplemente se marcan como eliminados. Además, como en cualquier infraestructura informática importante, es probable que Telegram implemente un sistema robusto de copias de seguridad de los datos, lo que significa que los mensajes “eliminados” se mantendrán al menos en las copias de seguridad de la base de datos. Tal vez sea más eficaz para los dos participantes del chat (o para los administradores del grupo) eliminar por completo la conversación. Sin embargo, el problema de las copias de seguridad seguiría presente.

Copia de seguridad de los chats

Varios observadores han expresado su preocupación por que Telegram pueda ser eliminado de las tiendas de aplicaciones, que lo bloqueen o que se interrumpa su disponibilidad de algún otro modo. Si bien esto parece poco probable, hacer una copia de seguridad de los mensajes, las fotos y los documentos importantes sigue siendo una buena práctica de higiene digital.

Para guardar una copia de seguridad de la correspondencia personal importante, tienes que instalar Telegram en el ordenador (aquí tienes el cliente oficial), iniciar sesión en tu cuenta y acceder a Configuración → Avanzado → Exportar datos de Telegram.

Cómo exportar todos los datos de Telegram

En la ventana emergente, puedes seleccionar los datos que quieres exportar (chats personales, chats de grupo, con o sin fotos y vídeos), establecer límites de tamaño de descarga y elegir el formato de los datos (HTML, para verlos en cualquier navegador, o JSON, para el procesamiento automático por parte de aplicaciones de terceros).

Ajustes para hacer una copia de seguridad de los datos de Telegram

Descargar los datos a tu ordenador podría llevar varias horas, así como requerir decenas o incluso cientos de gigabytes de espacio libre, en función de cuánto uses Telegram y de los ajustes de exportación seleccionados. Puedes cerrar la ventana de exportación, pero asegúrate de no salir de la aplicación y de no desconectar el equipo de Internet ni de la red eléctrica. Recomendamos usar únicamente la función de copia de seguridad del cliente oficial.

“Evitar la eliminación de Telegram” de los teléfonos

En primer lugar, echemos un vistazo a iOS. Los de Cupertino no eliminan aplicaciones de los teléfonos de los usuarios, ni siquiera cuando las aplicaciones se eliminan del App Store, por lo que cualquier consejo sobre cómo evitar la eliminación de Telegram de los iPhones será falso. Además, un método popular para “evitar la eliminación de Telegram” que circula en Internet ―usar el menú de Tiempo en pantalla― no impide que Apple elimine aplicaciones; solo evita que ciertos usuarios (por ejemplo, los niños) eliminen las aplicaciones ellos mismos: así pues, se trata de una función de control parental. Y eso no es todo: el arresto de Durov ha reavivado la vieja afirmación falsa sobre la eliminación remota de Telegram de los iPhones, que tanto Apple como Telegram negaron oficialmente en 2021.

En cuanto a Android, Google tampoco suele eliminar aplicaciones, salvo cuando se trata de software 100 % malicioso. Es cierto que los usuarios de otros ecosistemas (Samsung, Xiaomi, etc.) no cuentan con tales garantías, pero en Android resulta sencillo instalar Telegram directamente desde el sitio web de Telegram.

Clientes alternativos

Hay clientes no oficiales de Telegram que funcionan y son legales, e incluso un “cliente alternativo oficial”: Telegram X. Todos estos clientes usan la API de Telegram, pero no está claro si ofrecen alguna ventaja adicional o una mayor seguridad. Los cinco clientes alternativos principales disponibles en Google Play hablan de “seguridad mejorada”, pero solo se refieren a funciones como ocultar los chats en un dispositivo.

Como no, existe la posibilidad de que descargues malware que se haga pasar por un cliente alternativo de Telegram; los estafadores no pierden la ocasión de explotar la popularidad de la aplicación. Si te estás planteando usar un cliente alternativo, sigue estas recomendaciones de seguridad:

• Descárgalo solo desde las tiendas oficiales de aplicaciones.
• Asegúrate de que la aplicación lleve disponible un tiempo considerable y de que tenga una valoración alta y una gran cantidad de descargas.
• Utiliza una protección antivirus de confianza para todas las plataformas, como Kaspersky Premium.

Recaudación de fondos para Durov y en defensa de la libertad de expresión

Esto no está directamente relacionado con los chats de Telegram, pero es importante tener cuidado también con los estafadores que se hacen pasar por quienes recaudan fondos para la defensa legal de Pavel Durov (como si alguien como él necesitara dinero), pero que en realidad intentan robar datos de pago o donaciones en criptomonedas. Trata este tipo de solicitudes con gran sospecha y comprueba si la supuesta organización existe realmente y si está llevando a cabo dicha campaña.

Fuente: www.latam.kaspersky.com

Los investigadores llevan tiempo discrepando sobre lo que constituye la IA de código abierto. Un grupo de expertos ha ofrecido una respuesta

La IA de código abierto está en todas partes. El problema es que nadie se pone de acuerdo sobre qué es realmente. Ahora puede que por fin tengamos una respuesta. La Open Source Initiative (OSI), el grupo de árbitros autoproclamado de lo que significa ser de código abierto, ha publicado una nueva definición, que espera que ayude a los legisladores a desarrollar normativas para proteger a los consumidores de los riesgos de la IA.

Aunque la OSI ha publicado mucho sobre lo que constituye una tecnología de código abierto en otros campos, este es su primer intento de definir el término para los modelos de IA. Pidió a un grupo de 70 personas formado por investigadores, abogados, responsables políticos y activistas, así como representantes de grandes empresas tecnológicas como Meta, Google y Amazon, que elaboraran la definición de partida.

Según el grupo, un sistema de IA de código abierto puede utilizarse para cualquier fin sin necesidad de obtener un permiso, y los investigadores deben poder inspeccionar sus componentes y estudiar cómo funciona el sistema. También debe ser posible modificar el sistema para cualquier fin —incluido su resultado— y compartirlo con otros para que lo utilicen, con o sin modificaciones, para todo tipo de propósitos. Además, la norma intenta definir un nivel de transparencia respecto a los datos de entrenamiento, el código fuente y las ponderaciones de un modelo determinado.

La ausencia previa de un estándar de código abierto planteaba un problema. Aunque sabemos que las decisiones de OpenAI y Anthropic de mantener en secreto sus modelos, conjuntos de datos y algoritmos hacen que su IA sea de código cerrado, algunos expertos sostienen que los modelos de libre acceso de Meta y Google, que cualquiera puede inspeccionar y adaptar, tampoco son realmente de código abierto, debido a las licencias que restringen lo que los usuarios pueden hacer con los modelos y a que los conjuntos de datos de entrenamiento no se hacen públicos.

Se ha contactado con Meta, Google y OpenAI para conocer su respuesta a la nueva definición, pero no han contestado antes de la publicación. «Se sabe que las empresas hacen un mal uso del término cuando comercializan sus modelos«, afirma Avijit Ghosh, investigador de política aplicada de Hugging Face, una plataforma para crear y compartir modelos de IA. Describir los modelos como de código abierto puede hacer que se perciban como más fiables, aunque los investigadores no puedan comprobar de forma independiente si realmente lo son».

Ayah Bdeir, asesora principal de Mozilla y participante del proceso de la OSI, afirma que algunas partes de la definición de código abierto fueron relativamente fáciles de acordar, como la necesidad de revelar las ponderaciones del modelo (los parámetros que ayudan a determinar cómo un modelo de IA genera un resultado). Otras partes de las deliberaciones fueron más polémicas, sobre todo la cuestión de hasta qué punto deben ser públicos los datos de entrenamiento.

La falta de transparencia sobre la procedencia de los datos de entrenamiento ha dado lugar a innumerables demandas contra grandes empresas de IA, desde fabricantes de modelos lingüísticos de gran tamaño como OpenAI hasta generadores de música como Suno, que no revelan mucho sobre sus conjuntos de entrenamiento más allá de decir que contienen «información de dominio público». En respuesta, algunos defensores afirman que los modelos de código abierto deberían revelar todos sus conjuntos de entrenamiento, una norma que, según Bdeir, sería difícil de aplicar debido a cuestiones como los derechos de autor y la propiedad de los datos.

En última instancia, la nueva definición exige que los modelos de código abierto proporcionen información sobre los datos de entrenamiento en la medida en que «una persona experta pueda recrear un sistema sustancialmente equivalente utilizando los mismos datos o datos similares». Compartir todos los conjuntos de datos de entrenamiento no es una condición obligatoria, pero sí que va más allá de lo que hacen hoy en día muchos modelos patentados o incluso modelos que aparentan ser de código abierto. Es un compromiso.

«Insistir en establecer una especie de regla de oro idealista y pura que, en realidad, nadie va a cumplir, acaba siendo contraproducente», afirma Bdeir. Añade que la OSI está preparando algún tipo de mecanismo que señalará los modelos que se describan como de código abierto, pero que no se ajusten a su definición. También tiene previsto publicar una lista de modelos de IA que sí respondan a la nueva definición. Aunque ninguno de ellos está confirmado, el puñado de modelos que Bdeir dijo a MIT Technology Review que se espera que aparezcan son poco conocidos, como Pythia de Eleuther, OLMo de Ai2 y los modelos del colectivo de código abierto LLM360.

Fuente: www.technologyreview.es

Imagina que te encuentras sentada frente a tu computadora, inmersa en un proyecto crucial. De repente, la pantalla se congela y, a pesar de tus intentos de reiniciarla, la situación persiste. La desesperación se apodera de ti, y te ves en la encrucijada de no saber cómo proceder.

Si ha experimentado esta situación, es probable que haya sentido la frustración asociada con el uso de un sistema operativo cerrado. Sistemas como Windows o macOS están bajo el control de empresas que buscan principalmente sus propios intereses en lugar de los tuyos. Se trata de sistemas «micro», como el propio nombre sugiere, que no son tan operativos. Dichas empresas tienen la capacidad de modificar el software en cualquier momento, generando potenciales inconvenientes para los usuarios.

En contraste, GNU/Linux se presenta como un sistema operativo de código abierto. Esto implica que cualquiera tiene la libertad de modificar el software. Como consecuencia, Linux se caracteriza por ser más estable y confiable en comparación con los sistemas operativos cerrados.

Un reciente estudio realizado por la Universidad de Stanford arrojó resultados interesantes: las personas que optan por Linux experimentan niveles más altos de felicidad en comparación con aquellas que utilizan sistemas operativos cerrados. La investigación reveló que los usuarios de Linux muestran un mayor grado de satisfacción en sus vidas y se sienten más capacitados para gestionar su propio entorno tecnológico.

Estadísticas y Fuentes

El análisis realizado a cabo por la Universidad de Stanford se fundamentó en una encuesta realizada a más de mil participantes. Según los resultados de la encuesta, aquellos que utilizan Linux exhibieron un índice de satisfacción con la vida de 7,2 en una escala del 1 al 10, en contraste con una puntuación de 6,8 para los usuarios de sistemas operativos cerrados. Asimismo, se observó que los usuarios de Linux eran más propensos a sentirse capacitados para gestionar su entorno tecnológico, obteniendo una calificación de 6,9 ​​en comparación con los usuarios de sistemas operativos cerrados, quienes obtuvieron una puntuación de 6,3.

Felicidad y Linux

Información a menudo omitida por la mayoría de los sitios web El estudio de Stanford no constituye la única investigación que ha revelado que los usuarios de Linux experimentan mayores niveles de felicidad. Un estudio realizado por la Universidad de Cambridge señaló que quienes optan por Linux experimentan niveles inferiores de estrés y ansiedad en comparación con los usuarios de sistemas operativos cerrados.

Las investigadores postulan diversas razones que explicarían la mayor satisfacción entre los usuarios de Linux. Una de ellas radica en la mayor personalización que ofrece Linux en comparación con los sistemas operativos cerrados. Esta flexibilidad permite a los usuarios adaptar el sistema operativo según sus necesidades específicas, lo que podría contribuir a un mayor grado de satisfacción.

Otro factor a considerar es la seguridad que ofrece Linux en comparación con los sistemas operativos cerrados. Esto se debe a la mayor transparencia de Linux, que posibilita a los usuarios entender el funcionamiento interno del software. Esta transparencia dificulta que los posibles atacantes aprovechen las vulnerabilidades de seguridad.

En países como México y España, donde prevalece el uso de sistemas operativos cerrados como Windows y macOS, es plausible que esto tenga implicancias significativas en la felicidad de los usuarios. Sin embargo, Linux está ganando popularidad en estos países debido a su mayor accesibilidad en términos económicos ya una experiencia de usuario mejorada.

Fuente: www.somoslibres.org

Estabilidad, rendimiento y adaptabilidad son atributos clave de Linux, que domina la computación en la nube y la supercomputación y es fundamental para IoT y los contenedores.

Ahora que 2024 ha despegado, es un buen momento para reflexionar sobre cómo empezó Linux y cuál es su situación actual. Para muchos de nosotros es difícil comprender cuánto tiempo lleva Linux desarrollándose y estando disponible. Probablemente sea aún más difícil comprender hasta qué punto se ha extendido a tantos aspectos de la informática. La disponibilidad actual de más de 600 distribuciones de Linux demuestra su asombroso éxito.

Es interesante tener en cuenta que Linux empezó incluso antes de que Torvalds se pusiera a trabajar en el núcleo Linux en 1991 (la fecha exacta es difícil de precisar). Gente como Richard M. Stallman se había entusiasmado con el concepto de un «¡Unix Libre!» – tanto si ese «libre» implicaba «sin coste» o «liberación». Linux siguió a sus predecesores Unix (como SunOS) en muchos aspectos, pero con el atractivo carácter de ser de «código abierto» – el carácter que lo hizo disponible a tantos niveles sorprendentes de innovación.

La fundación que hizo posible el núcleo Linux se creó en septiembre de 1983. Richard M. Stallman anunció el Proyecto GNU (que significa «GNU no es Unix»), un nombre que confirmaba la distinción entre Unix y las variedades en evolución de Linux.

Como alguien que empezó a utilizar SunOS (un sistema operativo Unix) al principio de su carrera, la aparición de Linux en la sala de ordenadores de mi empresa sólo unos años más tarde captó inmediatamente mi interés, aunque entonces no tenía ni idea del impacto que este sistema operativo «libre» tendría en la tecnología informática.

¿Qué es el núcleo?

El kernel Linux es el componente principal del sistema operativo Linux. Sirve de interfaz entre el hardware que utiliza Linux y los numerosos procesos que se ejecutan.

Linux Torvalds es un ingeniero de software finlandés-estadounidense que fue el creador y principal desarrollador del núcleo Linux. Acaba de cumplir 55 años. La Fundación para el Software Libre (FSF) celebró el pasado mes de septiembre el 40 aniversario del sistema operativo GNU y el lanzamiento del movimiento del software libre, que tanto ha cambiado el entorno informático.

¿Por qué Linux tiene tanto éxito?

Entre las muchas características de Linux que conducen a su éxito se incluyen:

• Naturaleza de código abierto: El código fuente de Linux está a disposición de cualquiera, lo que facilita su uso y la colaboración con otros en tareas de desarrollo.

• Adaptabilidad: Puede adaptarse a diversos tipos de hardware y retos de procesamiento.

• Estabilidad y fiabilidad: Suele ser la elección para servidores en los que el tiempo de actividad es muy importante.

• Rendimiento: Está diseñado para ofrecer eficiencia y alto rendimiento.

• Seguridad: Incluye actualizaciones periódicas y supervisión de la seguridad.

• Rentabilidad: La mayoría de las distribuciones son gratuitas, mientras que algunas ediciones empresariales conllevan algunos costes por soporte y servicios.

• Portabilidad: Linux funciona en una gama muy amplia de sistemas, desde dispositivos diminutos hasta los superordenadores más potentes del mundo.

• Versatilidad y potencia de la línea de comandos: la línea de comandos de Linux sigue proporcionando un control amplio y potente sobre el procesamiento y la gestión del sistema.

Distribuciones

La variedad y el número de distribuciones de Linux cambia cada año, pero Wikipedia ofrece muchos detalles sobre las familias de Linux (por ejemplo, los grupos de distribuciones basadas en Debian, RHEL y Arch). Los miembros de los grupos de distribuciones Linux están muy relacionados entre sí, por lo que estas agrupaciones familiares son bastante significativas. Eche un vistazo a la gama de distribuciones descritas aquí.

Supercomputación

Linux sigue dominando la supercomputación principalmente por lo bien que se puede adaptar a casi cualquier tipo de hardware. Este artículo mío anterior detalla muchas de las razones por las que Linux funciona tan bien en los 500 superordenadores más importantes del mundo: Linux domina la supercomputación

Logros de Linux

Linux domina la computación en nube, constituye la base del Internet de las cosas (IoT) y sigue siendo la base de los contenedores. Además de las importantes funciones que sigue desempeñando en la supercomputación, Linux es responsable de variedades de computación que probablemente nunca habrían llegado de no ser por su código abierto y su naturaleza innovadora.

Fuente: www.somoslibres.org

Parece que la situación en torno a la seguridad del software de código abierto es cada vez más preocupante, o al menos esa es la impresión que da el goteo de informes que alertan en ese sentido. Después de que VMWare publicara un estudio en el que mostraba un enfriamiento en la confianza, ahora es Synosys la que alerta de que un importantísimo porcentaje de las bases de código contienen al menos una vulnerabilidad grave.

Según un informe publicado por el Centro de Investigación en Ciberseguridad de Synopsys llamado Análisis de Riesgos y Seguridad del Código Abierto, el 84% de 1.703 bases de código que ha escaneado en el año 2022 contenían al menos una vulnerabilidad. Otro detalle a tener en cuenta es que el 48% de las mismas bases de código tenían vulnerabilidades de alto riesgo.

Aunque el informe se centra en el código abierto, es importante tener en cuenta que no está centrado exclusivamente en eso, sino más bien en las bases de código que contienen Open Source. En el siguiente gráfico se puede apreciar cómo los porcentajes de bases de código que contienen Open Source y de código en las propias bases que era abierto ha ido disminuyendo en los últimos años, a pesar de marcar unos porcentajes del 96 y el 76 por ciento respectivamente.

Otro dato de interés recogido por el informe y procedente de Gartner es que el 45% de las organizaciones del mundo recibirán un ataque a través de una vulnerabilidad presente en su cadena de suministro para el año 2025, lo cual supone una cantidad nada desdeñable, aunque acorde a lo que ya conocemos..

Synopsys explica que, si una organización no es capaz de gestionar correctamente la seguridad del código abierto y del software de terceros que emplea, ningún otro esfuerzo será útil si no se cuidan correctamente los cimientos: “Administrar este software implica obtener una visibilidad completa de sus dependencias y tener la capacidad de recopilar fácilmente información relacionada con el riesgo introducido por estos componentes. Una vez que se ha identificado este riesgo, necesita herramientas y prácticas para administrarlo, priorizarlo y remediarlo”.

Lejos de apostar directamente por el oscurantismo como forma de mejorar la seguridad, Synopsys aboga por realizar un inventario completo del todo el software empleado por una empresa, ya sea de código abierto, privativo o comercial, independientemente de su lugar de procedencia. Esto implicaría la creación de una lista de materiales de software (SBOM en sus siglas en inglés) en la que se enumerarían todos los componentes de código abierto de una aplicación, así como sus licencias, versiones y estado de los parches.

En contraste con el dato mencionado, la situación de la adopción del Open Source dentro de las bases de código ha mejorado si se toman los últimos cinco años. La presencia de código abierto en las bases escaneadas por Synopsys ha aumentado entre en los años 2018 y 2022 en un 163% en la tecnología educativa (EDTech); un 97% en las industrias aeronáutica, aviación y automoción; y un 74% en fabricación y robótica. El aumento explosivo en la EDTech se ha producido principalmente en la época de la pendemia.

El crecimiento en la adopción del Open Source entre los años 2018 y 2023 ha venido acompañado, aunque no necesariamente de forma relacionada, de un aumento del 557% en el número de vulnerabilidades de alto riesgo. De aquí se puede destacar a los sectores aeroespacial, aviación, automoción, transporte y logística vertical, que experimentaron en conjunto un aumento del 232% en las vulnerabilidades de alto riesgo halladas en sus bases de código.

En lo que respecta al IoT, un clásico cuando se trata de poca seguridad y software mal mantenido, el 100% de las bases de código analizadas por Synopsys contenían código abierto. Sin embargo, la cantidad de vulnerabilidades de alto riesgo aumentó un 130% desde 2018 hasta el presente año y el 53% de las aplicaciones auditadas contenían vulnerabilidades de alto riesgo. Los problemas de seguridad del IoT son viejos y derivan principalmente de software mal mantenido. La gravedad del problema ha sido tal que los ataques DDoS más potentes jamás vistos han procedido de este frente.

Synopsys recoge que el equipo de Black Duck Audit Services ha auditado 1.481 bases de código para hallar que el 91% de estas contiene componentes de código abierto que no están actualizados. El software sin actualizar es otra vía típica para acumular fallos de seguridad que se lo ponen fácil a los actores maliciosos.

Además de los asuntos en torno a la seguridad, el informe de Análisis de Riesgos y Seguridad del Código Abierto. En esta área, Black Duck Audit Services ha encontrado que el 54% de las bases de código contenían conflictos con las licencias de código abierto en 2022. Esto supone un aumento del 2% en comparación con el año anterior, pero una disminución del 17% frente al año 2020. La licencia que ha causado más conflictos (por su incumplimiento) es la Reconocimiento-Compartir Igual 3.0 de Creative Commons (CC BY-SA 3.0), ya que el 22% de las bases de código auditadas tenían un conflicto con ella.

Synopsys también se ha acordado de la GPL, la licencia con copyleft más popular. Aquí la mayoría de los conflictos proceden de la inclusión de código fuente publicado bajo licencia en software privativo cuyo código no está disponible de forma pública y bajo una licencia compatible (por ejemplo, el código fuente de UNRAR está disponible de forma pública, pero bajo una licencia privativa). Por otro lado, el 31% de las bases de código auditadas en 2022 estaba publicado bajo una licencia que no se podía discernir o una personalizada, lo que representa un aumento del 55% en comparación con el año anterior. Un ejemplo es JSON, cuya licencia es una MIT modificada con la restricción de “el software se utilizará para el bien, no para el mal”, la cual puede representar un incumplimiento de los principios del software libre.

Además de los conflictos de licencias, también está el software sin licenciar. Synopsys señala que, si bien lo lógico es pensar que si ese código está disponible es para que otros lo puedan usar, la falta de una licencia clara en torno a su publicación hace que la ley sobre derechos de autor discrepe sobre el libre uso de dicho código.

Y hasta aquí los puntos más interesantes del informe Análisis de Riesgos y Seguridad del Código Abierto de Synopsis, el cual tiene muchos más datos relacionados con el uso del Open Source en las bases de código, la seguridad de las propias bases de código y en torno a las licencias.

Fuente: www.muylinux.com

Audacity 3.2 ha sido publicado como la última versión estable del popular editor de audio, el cual es, además, software libre y una de las aplicaciones más populares dentro de su segmento. En esta ocasión nos encontramos con algunas novedades de calado que abarcan tanto el soporte a nivel de sistemas operativos como algunas tecnologías relacionadas con la multimedia.

La primera novedad importante de Audacity 3.2 es la adición de un nuevo botón de Efectos en el menú de pistas que permite colocar efectos en tiempo real. Eso se ha sumado a la fusión de la barra mezcladora con las barras de medición, la incorporación de un nuevo botón de configuración de audio que reemplaza la barra de herramientas del dispositivo (si bien puede ser restituida a través del menú “Ver”), un menú de Efecto que ha sido reordenado y la adición de una característica para compartir audio de forma rápida.

A nivel de plugins, los efectos de VST3 están ahora soportados. Su introducción ha forzado el cambio de la licencia de los binarios a GPLv3, aunque la mayoría de los ficheros de código siguen estando publicados bajo GPLv2. El uso de la GPLv3 puede ayudar al proyecto a recuperar un poco de la credibilidad perdida después del escándalo que hubo en torno a su telemetría.

Los plugins de formato VST3, LV2, LADSPA y Audio Units son ahora capaces de funcionar en tiempo real. Por otro lado, todos los plugins son comprobados y habilitados automáticamente cuando Audacity es iniciado.

En cuanto a sistema operativos, en Linux se emplea ahora los directorios XDG, aunque los clásicos ~/.audacity-data y ~/.audacity que hayan sido heredados seguirán siendo usados hasta que el usuario los borre. Continuando con más cosas ligadas a Linux, ahora es posible compilar el código fuente incluso si el servidor JACK no está presente, mientras que para macOS hay una compilación nativa para Apple Silicon (ARM64). Audacity 3.2 ha incluido soporte de ffmpeg 5.0 y de Wavpack, además de haber cambiado ‘mad’ por ‘mpg123’ como importador de MP3.

Todos los detalles sobre Audacity 3.2 están disponibles en el anuncio de lanzamiento publicado en el repositorio del proyecto en GitHub, mientras que la aplicación puede obtenerse a partir de la sección de descargas de la web oficial con compilaciones para Linux (AppImage), Windows (x86 de 32 y 64 bits) y macOS (ARM e Intel). De manera alternativa es posible obtenerlo a través de Flathub y debería de llegar al canal estable de la Snap Store en cuestión de tiempo.

Fuente: www.muylinux.com

Cemu 2.0, la última versión del conocido emulador de Wii U, ha sido publicada con un par de novedades revolucionarias que a buen seguro cambiarán el rumbo del proyecto, ya que ha sido convertido en código abierto y por fin dispone de compilaciones nativas para Linux, si bien estas todavía están muy verdes.

Empezamos con lo que resulta más relevante por estos lares, la licencia y la disponibilidad para Linux. Sobre lo primero, el código fuente de Cemu 2.0 ha sido publicado bajo Mozilla Public License 2.0 (MPL 2), que es la licencia empleada por Firefox, las versiones de Thunderbird para escritorio (ya veremos en qué queda K-9 Mail) y Brave, el derivado de Chromium publicado como software libre más popular.

Sin embargo, en el repositorio GitHub de Cemu se avisa que están exentos de la licencia MPL 2 “todos los archivos en el directorio de dependencias para los que se aplican las licencias del código original, así como algunos archivos individuales de la carpeta src, como se especifica en los encabezados de esos archivos respectivamente”. Esta situación también se da, por ejemplo, con los editores de vídeo, que se apoyan en otros componentes publicados bajo licencias diversas.

En cuanto a las compilaciones para Linux, estas todavía están en fase preliminar, así que no están disponibles desde la sección de descargas de Cemu, donde se encuentran únicamente los instaladores para Windows. A pesar de ello, este es un primer paso muy importante y la disponibilidad del código fuente hará que, muy probablemente, un puñado de voluntarios se impliquen para acelerar el proceso. Si la intención del soporte nativo para Linux apunta hacia la Steam Deck, en un futuro podría haber hasta una compilación Flatpak oficial.

Otro cambio introducido a nivel de proyecto ha sido una simplificación de las versiones de mantenimiento, que ahora serán numeradas solo como 2.0, 2.1, 2.2, 2.3, etc. En cuanto a la versión mayor recientemente publicada, la 2.0, se le han actualizado todas las dependencias, destacando SDL y wxWidgets.

Por los demás, hay un puñado de cambios que consisten sobre todo en correcciones que apuntan a ir más dirigidas a Windows que a Linux. Entre ellas hay una para el decodificador de H.264, otra para arreglar un cuelgue de Call of Duty: Black Ops II y otra para corregir un fallo que provocaba que la versión de The Legend of Zelda: Wind Waker para Wii U se quedara inactiva en la pantalla de título durante dos minutos.

Para los que anden perdidos, Wii U es la última consola de sobremesa de Nintendo. Fue un total fracaso comercial debido a que la compañía apenas invirtió en publicidad, por lo que la mayoría del público de la Wii original, que fue comprada mayormente por personas que sabían poco de videojuegos, la entendieron o percibieron como un periférico en lugar de una consola nueva. Eso, unido a que el concepto de Wii ya había pasado de moda y a que el mal llamado “público hardcore” le dio la espalada a Nintendo hacía tiempo en consolas de sobremesa, obligaron a la compañía a tener que concentrar todas sus energías en portátiles a través de Switch, cosa que al final no ha sido mala idea porque le ha ahorrado el tener que desarrollar dos líneas de sus sagas más conocidas.

Desde MuyLinux le deseamos los mejor a Cemu en su andadura como proyecto de código abierto y en sus intenciones de ofrecer soporte nativo para Linux, porque siempre es bueno contar con más aplicaciones para el sistema, sobre todo si estas llegan como código abierto.

Fuente: www.muylinux.com