24 julio 2013

Se acaba la fiesta Open Source

Hoy nos hemos desayunado con la noticia de que Cisco anda tras SourceFire, la empresa que está detrás de el famoso IDS/IPS Snort.

Esto me ha llevado a una reflexión: ¿Queda algún proyecto relevante en el mundo de la seguridad que siga siendo 'realmente' OpenSource? 

Sí, ya se que Snort sigue siendo software OpenSource, pero también es cierto que tras dar el paso de proyecto OpenSource a proyecto OpenSource 'tutelado', ha ido poco a poco perdiendo el foco en favor de su versión comercial (sobre todo en la parte gráfica).

El motor sigue siendo de código abierto, la comunidad lo usa, reporta fallos, lo mejora, etc pero las mejoras que aportan valor añadido se quedan en la parte comercial

Ya en 2005 el gigante Check Point puso sobre la mesa 225 millones para hacerse con la compañía, operación que terminó fracasando. Y si nos creemos las cifras publicadas: año 2005 --> 225 millones, año 2013 --> 2700, fue providencial que esa operación no se llevase a cabo.

Ahora, si finalmente cae en manos de Cisco, nos podemos temer lo peor, una empresa con una cultura no precisamente enfocada en lo 'Open' que puede derivar en otro 'MySQL-Gate'.

Previo a esto tenemos el caso Nessus, herramienta que fue Open Source hasta que su creador dijo basta y que, si bien ha mantenido una versión 'free', nuevamente nos encontramos con un producto mermado en comparación a su versión de pago e incluso con una licencia que prohíbe su uso comercialmente.

También destacable el 'Caso Metasploit', proyecto que en 2009 fue adquirido por Rapid7 y del que han derivado versiones mejoradas de pago y 'closed source'

Igual soy yo que soy muy mal pensado pero tengo la impresión que la mayoría de proyectos que se lanzan con licencia Open Source, utilizan el concepto meramente como vehículo para la promoción, para captar usuarios, ideas y esfuerzos hasta que alcanzan un nivel de visibilidad que les permite monetizar el concepto.

No es algo que critique -OJO-, me parece genial y no tengo nada que objetar. Si que lo siento por la gente que vive el movimiento Open Source como algo filosófico en su faceta más asceta.

Lo que si tengo claro es que ahora mismo cuando veo el anuncio de una nueva herramienta con el eslogan 'Open Source', siempre me viene a la cabeza la escena del chico que entra a un bar y le dice a una chica 'solo quiero invitarte a una copa' Y más si encima es un proyecto 'patrocinado' por una empresa

41 comments :

Vicente Motos dijo...

totalmente de acuerdo Yago. Los proyectos Open Source deberían incluir una claúsula en orígen por la cual no debieran poder desmarcase y sacar versiones cerradas o comerciales tan alegremente, más aún cuando se han beneficiado de las contribuciones de una comunidad abierta. En fin, veamos que pasa con Sourcefire...

María García dijo...

Entonces es verdad que es mejor no fiarse (es que yo también soy muy mal pensada).

María García dijo...

En cualquier caso, ya se verá qué pasa con el cerdito (por cierto: que me mandaron un calendario muy chulo). Supongo que, al menos, seguirán patrocinando la rooted...

Lorenzo Lamas dijo...

> ¿Queda algún proyecto relevante en el mundo de la seguridad que

> siga siendo 'realmente' OpenSource?

ModSecurity por ejemplo

chmeee dijo...

Había escrito un rollo largo pero se lo ha comido el navegador al hacer login en DISQUS :(.

En definitiva, por no repetir lo que se ha tragado el ciberespacio, venía a decir que no hay que ser tan alarmistas pues quedan muchísimos proyectos de seguridad en software libre aún. Y que, realmente, sólo son "adquiridos" aquellos que son frameworks o productos muy fácilmente comercializables.

Eso sí, el que cae en manos privadas acaba perdiendo algo importante.

Bitcoiner dijo...

Lo que no entendéis los anti código abierto es que el dinero no necesariamente tiene que venir de vender software. Me recordáis a esa gente que te dice cosas como: "¿De dónde saca el dinero Facebook si tener perfil es gratuito?"

Recomiendo dejar aparcada un segundo la seguridad informática y aprender algo de educación financiera, saldremos ganando todos.

Travis Bickle dijo...

No es que Cisco ande detrás... está encima: http://newsroom.cisco.com/release/1225204

Anonimo dijo...

Ah, pero mod_security no está medio abandonado y ahora el autor se ha ido a un nuevo proyecto comercial? X)

Nikele dijo...

nmap, nmap!!

Javier Tobal dijo...

El problema del OpenSource es cuando la comunidad aporta mucho más que el creador y éste, el creador, cree que es dueño de la idea y de las mejoras posteriores (y se lleva el scatergoris). La comunidad de desarrolladores debería ser capaz de mantener y evolucionar el software por su cuenta.

En el caso de Snort, lo suyo es hacer un fork y que las versiones comercial y OpenSource evolucionen por su cuenta.

Otro problema diferente es el de proyectos comerciales que se "abandonan", pasan a ser OpenSource y, en realidad, los creadores son los únicos que consiguen hacerlos funcionar. Dejan de vender licencias pero se forran con proyectos de integración, soporte y formación.

Yago Jesus dijo...

Opino lo mismo, mod security ha perdido fuelle y también han sacado 'add-ons' comerciales

Yago Jesus dijo...

Tienes toda la razón !

Anonymous dijo...

He leído cosas bastante buenas sobre Suricata, pero no lo he probado en persona. ¿Posible sustituto de Snort?

sniffador dijo...

Caro premoh , el problema es que las visten como P***

Illoooo , viste ? he puesto asteriscos to rexulones pa que no me censuren.

aaaaaro coone, un saludete pa mi hamijo el Isla, el Tule , er MiKopete y esas cosas.

un big up pa tos usté.

Coone que caló. A ver si aprenden del sol, illo, que nos halumbra en opensource, sin mingunearnos lisensias.

Ya tu sabes.

Ignacio Agulló Sousa dijo...

Bienvenidos a la clase de biología. Hoy vamos a estudiar si los proyectos de código abierto son seres vivos. Para ello debemos preguntarnos, ¿cumplen la condición de contar con las cuatro etapas del ciclo de vida? Veamos: cuentan con nacimiento (lanzamiento), crecimiento (desarrollo + depuración), reproducción (bipartición) y muerte (cese del mantenimiento). Por ello cabe afirmar que sí, los proyectos de código abierto son seres vivos.
A veces la muerte por mantenimiento viene provocada por causa de que la empresa que emplea a los desarrolladores imponga una licencia cerrada. El proyecto de código abierto muere como tal, pasando a una postvida (zombi) como código cerrado. No obstante, esta muerte puede evitarse si nuevos desarrolladores de código abierto bifurcan el proyecto a partir de su última versión abierta.
Y dicho ésto, el titular de Yago Jesús es sensacionalista, por presentar como fenómeno general lo que no es más que un caso minoritario. La imposición de licencia cerrada por parte de empresas es la causa menos frecuente de muerte de proyectos de código abierto; la causa más frecuente, con gran diferencia, es el abandono del proyecto.

Yago Jesus dijo...

Yo no se cual es tu bagaje en proyectos Open Source, en mi caso mantengo uno desde hace años y años y años (Unhide) que puedes encontrar en cualquier distribución de Linux o BSD.


Dicho esto, creo que tu análisis tiene un defecto de forma importante: la magnitud. Obviamente hay muchos proyectos que permanecen libres, pero no podemos meter en el mismo saco un mini-proyecto con 20 descargas / mes que un proyecto como Metasploit.



Mi reflexión iba en la línea de que, si ese mini proyecto de 20 descargas empieza a tener 20.000, es cuando se termina la fiesta y empieza el 'dame dinero dame dinero'

María García dijo...

Back Track / Kali?

Jota Perez dijo...

Por eso GPL es siempre la solucion a las licencias para proyectos, el open source es un gris, ni blanco ni negro. Pero como todos los proyectos tienen derecho a decidir que hacer. Espero vuelva en auge los tiempos donde software libre era lo mas de lo mas

Anonimo dijo...

Sniffador dijo :


k dise premohhhh


para opensource opensource, tu hermana coone !


Que me borran los post y yo estoy muuu loco , capichi ?


Un saludito pal Lorenzo, premooh a ver si nos volvemos a ver en los madriles, coone

Anonimo dijo...

Sniffador dijo :


Caro , coone , ese Unhide de moda premohhh

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premooooh

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premooooh s

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premoooohhhh

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premooooh



Soy un perrito premooooooooooooooooh

Sniffador dijo...

Si o ke ?

Sniffador dijo...

Ola ke ase ?

Sniffador dijo...

Chapcha o ke ase ?

Sniffador dijo...

censura o ke ase ?

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premoooohhh

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premooooh

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premoooohhhhhhhhhh

Sniffador dijo...

En este post solo se permitiran mensajes que xupen la polla a SBD.

aaaaaaaaaaro premooooh



me descojono

Román Ramírez dijo...

No veo la relación entre que alguien venda una empresa y que el proyecto Open source sea una fiesta que se acaba...


¿Mozilla? ¿Apache? ¿nmap? ¿tcpdump? ¿wireshark? ¿BSD? ¿Linux? No son precisamente proyectos pequeños y siguen ahí. Siguen siendo open source.


Otra cosa es el modelo de negocio que elige cada uno... y no olvidemos que de código abierto no es sinónimo de que no vaya a ganar dinero con ello.
Mi opinión personal, además, es que no todos los proyectos deben ser open, es decir, que el "open source" está sobreestimado y sobreimpuesto. Los extremismos que esgrime la FSF me parecen otra forma de imposición sobre el consumidor. Ejemplo, la nueva obsesión de Stallman con el javascript y las soluciones SaaS.

El desarrollador de un proyecto debe hacer lo que le de la gana con él.

Alex J. Clares dijo...

Román, la cuestión es que dos productos referentes, como indicaba Yago, que son Nessus y Snort, a día de hoy, no tienen realmente alternativas y su versión Opensource tenemos que siga el camino de MySQL.

De Nessus pasamos a OpenVas... OK, todavia esta última tiene que mejorar algo. D

angelhc dijo...

Pues no sé qué es mejor, que se haga abiertamente como un modelo de negocio o, como en el caso de Firescope que copio directamente el código y con unos cuantos ":%s/..." sacó un producto "nuevo" copiando a otro opensource. Coincido en que no puedes pensar que opensource=gratis pero de eso a sacar tajada por el curro de otros me parece poco ético.

FurtherInfo: https://www.zabbix.com/forum/showthread.php?t=10155

Alfredo dijo...

"Si que lo siento por la gente que vive el movimiento Open Source como algo filosófico en su faceta más asceta."

Mejor que sentir nada por quienes damos una dimensión filosófica al software libre te recomiendo que leas un poco y entiendas de qué se trata esa dimensión porque da la impresión de que entiendes bastante poco. Te recomiendo el libro "Ética hacker" precisamente escrito por un filósofo, Pekka Himanen.

Dejando a un lado la falta de ortografía (cualquiera puede tener una) y el dudoso encaje de la palabra "asceta" aquí, la frase huele a kilómetros a prejuicio. Quienes colaboramos en proyectos de software libre no somos ingenuos como para pensar que estas cosas no pueden pasar. Las licencias son las que son para las versiones que son (no necesariamente para las futuras) y sí, muchos de quienes colaboran y aportan lo hacen por egoísmo buscando reputación, difusión y directamente publicidad. Otros lo hacemos por el egoísmo de aprender, de sentirnos bien, de no tener que pagar licencias, etc, etc.

Lo realmente valioso del software libre es que el modelo permite hacer que personas con motivaciones distintas colaboren para generar una obra común en el presente. Si buscan forrarse me da igual, yo lo que sé es que por encima de las meras opiniones hoy en día hay una versión de Snort libre de la que puedes aprender, que puedes utilizar y distribuir.

Yago Jesus dijo...

Punto 1: ¿Serías tan amable de ilustrarme donde está la falta de ortografía?


Punto 2: Tomándote así esa frase, que no tenía tono peyorativo, solo pones en liza tus complejos



Punto 3: ¿Te apetece que nos la midamos a ver quien ha lanzado / colaborado con más proyectos Open Source? (de buen rollo eh ...)



Un saludo

María García dijo...

No entiendo (aunque respeto) que la informática sea una filosofía. Y hasta, si tengo tiempo, intentaré leerme el libro.
Pero, en ese caso, la palabra "asceta" estaría bien usada, como metáfora, en el sentido de alguien que busca la perfección, renunciando para ello a cosas mundanas como el dinero. ¿No? Al menos, yo así lo he entendido.

Alfredo dijo...

Punto 1: "Sí" afirmativo se escribe con tilde


Punto 2: Me alegro de que la frase no tuviera tono peyorativo. Créeme, no tengo complejos, pero estoy muy cansado de los tópicos sobre el desarrollo de software libre.



Punto 3: No entiendo qué aportaría eso al tema en cuestión. Podrías ser Linux Torvalds y seguiría estando en desacuerdo con tu planteamiento y me seguiría disgustando el tono de tu frase a priori. Has aclarado que no era peyorativa así que todo bien. El libro te lo sigo recomendando, es muy bueno.

Manuel Vazquez Gonzalez dijo...

En verdad el código base sigue siendo opensource. El código que hace más gestionable al anterior es el que ya no es opensource.

Ejemplos hay muchos pero vamos tampoco podemos decir que esa una atrocidad. Al menos nos enseñan como hacer cosas, otra es crear un proyecto paralelo y verdaderamente libre. ¿No ocurrió asi con Open Office y LibreOffice o con MySQL y MariaDB?

Un saludo.

Spota dijo...

Como mínimo catalogaría de curiosa la mezcla, un defensor del modelo que no es capaz de llegar a las ideas y se queda en las palabras, y además intenta devaluar a una opinión por la falta de una tilde.
Lee lo que intenta decir en lugar de las palabras, podría haber puesto sectaria en lugar de asceta y diría lo mismo, quien eres tú para para decirle como debe de ver Open Source.