Que nos queda del *asunto* debian-openssh?
Encontré en un post de planet gnome una listilla de items que podemos considerar como “enseñanzas” del problemilla que tuvimos hace unos días en la comunidad del Software Libre.
Traduzco a continuación:;
1) Ahora hay un corolario de “no escribir su propio algoritmo de encriptación”: “no corregir los errores en las rutinas criptográficas de otras personas”. Si hubiera una “annotated view” del árbol de OpenSSL el DD (debian developer) que emparchó el sistema debería haber contactado a la persona que escribió el código en lugar de encontrar el canal correcto.
2) Los programadores deben publicar la información correcta de como contactarlos. La información incorrecta en el website de OpenSSL tiene tanta culpa como el DD que causó el problema, quien preguntó, en los canales sugeridos, sobre el parche.
3) Las distribuciones deben tener un “peer review” de parches para el código que es crítitico para la seguridad - obviamente, el review debe ser hecho por programadores con experiencia.
4) En lugar de putear, recordar que la Cuerda central de FLOSS es “Arreglalo Vos”. Esto no cesa de aplicarse en esta oportunidad simplemente porque pasa en algo de lo cual dependés
Creo que los 4 puntos son muy claros, concretos y aportan para, una vez atravezdo este obstáculo, Avanzar sin excusas.
