Respuesta racional: nadie lo sabe con certeza.
Si tuviera que elegir uno: bash … durante unos dos meses.
Este es el por qué:
Básicamente, existen tres bases de información sobre las cuales se realizan evaluaciones de seguridad modernas:
- ¿Es seguro usar antivirus gratuitos?
- ¿El iPhone es realmente inquebrantable?
- ¿Cuáles son las mayores vulnerabilidades encontradas en los proyectos de código abierto que no sean Heartbleed?
- ¿Cuál es el alcance de Internet Security y Cyber Forensics? ¿Me puede dar una descripción detallada sobre este campo?
- Si el gobierno ingresa dentro de mi computadora y tengo un software que apaga automáticamente su computadora, ¿qué tengo?
- El código fuente real ( evaluación de seguridad adecuada ). Fuera de una auditoría formal, es muy poco probable que se haya hecho un esfuerzo suficiente para mirar el código desde un punto de vista de seguridad, por lo que el hecho de que no se hayan anunciado problemas no significa que no haya errores de seguridad .
- La lista de vulnerabilidad pública ( evaluación de seguridad histórica ). Esto le indica cuántos errores relacionados con la seguridad se han encontrado hasta ahora. Absolutamente no le dice cuántos errores quedan en el código , y continuamente me sorprende la cantidad de personas que creen lo contrario.
- Opiniones de otras personas, educadas o no ( evaluación de seguridad de rumores ). Los tomo con una tonelada métrica de NaCl, y tú también deberías hacerlo.
Entonces, si no hay una respuesta definitiva, ¿por qué soy optimista en bash? Se basa en mi argumento frecuente con personas que afirman que el software de código abierto es necesariamente más seguro: “Claro, el código abierto significa que más personas pueden ver el código en busca de problemas, pero ¿ quién está buscando realmente ?”
En este punto, veo que el mundo de los autores de shell está dividido en tres campos:
- Aquellos que dicen “oh, eso es específico de bash, nada que ver con nosotros”, y no hacen nada más, la mayoría de las personas están aquí.
- Los que dicen “hmmm … me pregunto si cometimos un error similar” y se esfuerzan por verificar su código, probablemente muy pocos aquí.
- Los que dicen “ohsh * tohsh * tohsh * t estamos en el radar de todos!” y poner un esfuerzo significativo en la revisión del código … con 10,000 sabuesos de seguridad de Internet y organizaciones de noticias que pisan sus talones para complementar la motivación de la vergüenza total. En este momento, hay (potencialmente) solo un grupo aquí: los autores de bash. (Al menos, espero que estén en este grupo …)
¿Y por qué estoy estableciendo un límite de tiempo en mi soporte para bash? Simplemente porque esa es la “vida media” que he visto para el “entusiasmo” de la codificación segura, perdido en el impulso continuo de nuevas características y la simple falta de “novedad”. La conciencia y la actividad de seguridad, como la mala suerte, las situaciones difíciles e incluso la vida misma, comparten una característica: esto también pasará .