27 jul. 2016

La UE empieza a auditar software de código abierto, empezando por Keepass

Justo en el momento que Tavis Ormandi publica un 0-Day en el gestor de contraseñas LastPass, la Unión Europea comienza el análisis de KeePass.

La UE está llevando a cabo un proyecto piloto en el que busca poder auditar la seguridad de los principales proyectos de software de código abierto con el fin de ayudar a los desarrolladores a detectar y solucionar posibles fallos de seguridad que puedan existir en ellos. Para decidir qué proyectos auditar, la Comisión abrió una encuesta pública, en la que participaron 3282 personas, y más del 23% de los votos fueron hacia el gestor de contraseñas KeePass Password Manager.

KeePass es un gestor de contraseñas gratuito y de código abierto que busca ofrecer a los usuarios la posibilidad de gestionar sus contraseñas privadas de forma segura, con las garantías del código abierto y sin depender de una nube centralizada, como otras alternativas, que puedan suponer un vector de ataque y que puedan comprometerlas.

En breve, las empresas responsables de dichas auditorías empezarán a llevarlas a cabo. Estas analizarán por completo el código fuente de la aplicación y buscarán cualquier posible vulnerabilidad en el código con el fin de notificárselo a los propios desarrolladores para que puedan solucionar los fallos de seguridad en la próxima actualización. De esta forma, es posible que antes de fin de año KeePass Password Manager mejore la seguridad de las contraseñas de sus usuarios gracias a estas auditorías y pueda seguir creciendo aún más en el mercado de las contraseñas, un mercado en auge.

Mientras la auditoría se lleva a cabo, podemos descargar la última versión de KeePass, para la cual, de momento, no se conocen vulnerabilidades, desde el siguiente enlace. Otros proyectos de código abierto podrían ser auditados por la Unión Europea más adelante

La segunda plataforma más votada por los participantes de la encuesta fue Apache HTTP Server, quien también recibirá su correspondiente auditoría de seguridad. Las demás aplicaciones candidatas como Firefox, WinSCP, 7-Zip, NotePad++, VLC Media Player e incluso Linux, de momento, no recibirán dicha auditoría, al menos de momento.

La metodología utilizada en las auditorías es pública, y puede consultarse en el siguiente enlace. Además, una vez acabe este primer programa piloto, las instituciones buscarán fondos y, de conseguirlos, seguirán auditando nuevos proyectos con el fin de hacer el software libre mejor y más seguro.

Fuente: RedesZone

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!