Barrapunto

Una de las cosas importantes al hablar de las tecnologías que mecionas (como las modificaciones del compilador introducidas por StackGuard y Propolice, o los parches al kernel) es que son, en cierta medida, "novedosas", tienen que se probadas antes de proporcionarlas a todos los usuarios a riesgo de que se rompan las cosas que sí funcionan. Esas pruebas se hacen y, poco a poco, las tecnologías se integran en los distintos puntos (en el núcleo 2.6 ya están algunas, como es el caso de LSM, y también las distribuciones van incorporándolas, en otros casos). Decir que eso no se está haciendo es faltar a la verdad, varios hechos: Debian proporciona los parches al núcleo de grsecurity, SElinux, OpenWall, y exec-shield (pronto también PaX y RSBAC, estoy en ello), RedHat también proporciona algunos de estos habilitados por defecto (exec-shield)

También es falso que Cada vez salen mas bugs de linux y menos de windows, no hay datos que lo demuestren (y si crees que sí, demuestralo, y no valen enlaces a artículos que se quedan en la superficie). Es muy importante, además, considerar que no es fácil comparar dos sistemas operativos, uno que proporciona muchas aplicaciones y otro que no proporciona casi ninguna (compara el software que se provee en una distribución de GNU/Linux cualquiera con el que se le da alguien que compra una versión de Microsoft Windows). Vamos, churras y medinas. Te recomiendo que leas la sección de seguridad [dwheeler.com] de Why OSS/FS? si ésto no te ha convencido.

Igualmente es falso que las distribuciones no han mejorado en seguridad, como tú dices, en años, algunos proyectos de software libre que se incluyen en las distribuciones de Linux (como Apache) realizan auditorías de código, y detectan estos problemas potenciales, las distribuciones incorporar nuevas tecnologías para proteger a los sistemas y a sus usuarios (sistemas de detección de intrusos, comprobaciones de integridad, etc.), las distribuciones minimizan el sistema base para reducir la exposición, etc, etc, etc.

Nadie niega que sea mejorable, pero no se puede decir que no se avanza, cuando sí se hace.

En cualquier caso, no le debes achacar los problemas a las personas que proporcionan el software, también quizás pensar qué has hecho tú por el software libre en materia de seguridad. ¿Has auditado algún programa y publicado tus resultados en Sardonix? ¿Has realizado una revisión de problemas y los has enviado como informes de errata?

Criticar, criticar es fácil, poner manos a la obra y ayudar, eso parece que a muchos les resulta más complicado (como en el refrán ese de la fuerza por la boca) [sardonix.org]