DropsTech.org

Se open-source por definição significa que o código é aberto, então por que é que a Mozilla tem algumas das suas discussões sobre o código a portas fechadas?

A razão é simples: proteger os usuários.

Na semana passada o pesquisador de segurança Robert Chapin alegou que o processo de segurança do Mozilla não estava aberto. Segundo Chapin, certas discussões chave em torno da decisão de questões de segurança com o Gerenciador de Senha do Mozilla que ele informou pela primeira vez em Novembro passado estiveram menos de que inteiramente abertas.

Window Snyder, líder de estratégia de segurança da Mozilla Corp, disse a internetnews.com que a alegação de que o Mozilla não está aberto não é o caso. Snyder argumentou que o Mozilla está tão aberto o quanto pode ser e até um tanto democrático.

Além do banco de dados de falhas do Bugzilla publicamente disponível, a Mozilla também mantém um grupo separado de segurança com a parceria composta pela Mozilla e uma grande comunidade. Atualmente o grupo tem 86 membros, como Google, Redhat, IBM, Sun, Ubuntu e Cenzic representando vários grupos diferentes.

“Quando as questões de segurança entram, elas poderiam ser discutidas como uma falha, mas elas também poderiam ser discutidas no grupo de segurança,” disse Snyder. “Uma das razões por que fazemos isso é para assegurar que adquirimos o feedback suficiente da comunidade em todos os diferentes sentidos, e podemos enfocar o problema e nos ajudar a priorizar.”

Snyder explicou que a falha originalmente informada por Chapin do Gerenciador de senha foi discutido publicamente no Bugzilla porque houve uma revelação pública da vulnerabilidade. Um pouco da discussão aconteceu na Lista de Discussões do grupo de segurança onde alguns riscos adicionais foram relacionados e discutidos de uma maneira para não expor os usuários a um risco adicional.

“Há um compromisso entre a realização de coisas abertas completamente e expor os usuários ao um risco adicional, contra a realização dele em um subconjunto da população que foi auto selecionada,” disse Snyder.

O grupo de Segurança da Mozilla é auto organizado, observou Snyder. Alguém que queira se juntar precisa conseguir alguém para nomeá-lo e outras duas pessoas para a segunda e terceira nomeação. O Mozilla faz isto para assegurar que ela tenha um grupo que possa guardar os detalhes da vulnerabilidade de segurança dentro do grupo até que as correções estejam disponíveis.

Chapin alegou que a falha do Gerenciador de senha do Mozilla ainda não está corrigida. Snyder afirmou que a falha que Chapin informou primeiro foi corrigida, como a Mozilla já afirmou no lançamento do Firefox 2.0.0.2.

Isto não é dizer que o Gerenciador de senha do Mozilla está livre de falhas.

“Há outras falhas que estão relacionados e que estamos priorizando, e há pelo menos aquelas que estão sendo corrigida na 2.0.0.3 e outras falhas que podemos corrigir no futuro,” admitiu Snyder. “O Gerenciador de senha é um dos componentes que está sendo considerado para ser reescrito, portanto um número de questões podem ser resolvidas também.”

Então há a questão crucial sobre a própria falha do Gerenciador de senha..

A falha inicial enviada por Chapin foi listado no banco de dados do Bugzilla como crítico. Quando Mozilla emitiu um alerta de segurança da questão junto com a atualização 2.0.0.2, ele etiquetou a falha como “baixo impacto.”.

Snyder explicou que não é necessariamente uma linha direta do Bugzilla e o alerta de segurança.

“Muitos fatores podem fazer uma falha crítica no Bugzilla, como ele inclui a gravidade de qualquer falha e não somente segurança,” disse Snyder. “Um alerta de segurança é apenas sobre segurança.”

Falando sobre segurança, não é só a contribuição de pesquisadores externos que leva a Mozilla a alertas de segurança. A Mozilla também tem um grupo interno ativo que faz testes de invasão contra produtos Mozilla. O Snyder observou que eles rodam uma grande gama de ferramentas de teste de segurança e ataques.

“Queremos assegurar que estamos constantemente procurando por vulnerabilidade de segurança, porque código novo está sendo introduzido constantemente e as ameaças mudam,” disse Snyder.

O esforço de segurança da Mozilla também pode um dia levar a esforços open-source da Mozilla em ferramentas de segurança e informação.

“Nós estamos procurando meios de fazer as informações que nós desenvolvemos assim como parte dos nossos testes de segurança abertamente disponível, então as pessoas podem usar-lo para proteger grandes projetos de software,” disse Snyder.

A questão de quando a Mozilla pode fazer estas ferramentas e informações disponíveis é parte de todo equilíbrio que a Mozilla esta se esforçando para buscar entre funcionalidade, segurança e exposição.

“Uma das coisas diferentes sobre a Mozilla é que aqui é cooperativa e baseada na comunidade”, explicou Snyder. “O que precisa acontecer é que para cada questão que surja estamos considerando a segurança além de que valor este item trás para o usuário.”

Fonte: internetnwes.com

Fonte: BlogBlogs.Com.Br