El código fuente de TousAntiCovid ha sido publicado, pero … está incompleto y peor aún, bajo una licencia propietaria.

En un esfuerzo por disipar las críticas sobre la falta de transparencia y los posibles problemas de seguridad de TousAntiCovid, INRIA ha anunciado el lanzamiento del código fuente de una aplicación de rastreo de contactos móvil implementada en el contexto de la epidemia de Covid-19 en Francia; La aplicación está destinada inicialmente a advertir de una posible transmisión con una persona infectada. Pero hay un problema: el código fuente está incompleto y, peor aún, propietario, el cóctel perfecto para cabrear a mucha gente.

El Instituto Nacional de Investigación en Ciencias de la Computación y Automatización (INRIA) no hará un mejor trabajo que hace un año con StopCovid, el predecesor de TousAntiCovid. Después de varios meses de espera indebida, finalmente respondió a la solicitud de la CNIL publicando el código fuente de TousAntiCovid Verif. Pero una vez más están jugando la carta de la historieta de seguridad, protestando contra un surfista en un hilo de tuits. Este último dijo que la decepción de aquellos que esperaban un enfoque genuino de código abierto y transparente.

Adoptando la posición de quienes abogan por la seguridad a través de la oscuridad (un modelo de seguridad para los editores de software propietario), INRIA deja claro desde el principio que solo han publicado ciertas partes del código fuente por razones de seguridad: el código publicado contiene todas las reglas de gestión para modos claros y detallados. Los elementos de código relacionados con la activación del modo extendido se han omitido intencionalmente de esta publicación por razones de seguridad, según el repositorio de GitLab de la aplicación TousAntiCovid.

READ  Sigue en rehabilitación tras cinco meses de contagio con el virus Corona

Las razones de seguridad en cuestión no son evidentes, pero ridículas de todos modos, el internauta sigue su hilo de tweets, estimando que cualquiera puede leer todos los datos del código QR para el pase de salud o activar el modo. Difundir en TousAntiCovid Verif con muy pocos recursos y conocimiento . Aproveche la oportunidad para exponer las fallas y las banderas de aficionados de la aplicación: cualquiera puede crear una copia de TousAntiCovid Verif que absorba datos del pasado en segundo plano. Además, la activación del modo tenso no está excepcionalmente oculta: todo lo que tienes que hacer es escanear un código QR que codifica un JWT firmado por [l’INRIA] , Él dijo. Además, otras partes del código fuente se revisan sin ningún motivo, como la clave pública que verifica la firma de los JWT para activar el modo extendido, la URL y su token de acceso a la API. Estos valores se pueden encontrar en 5 minutos en el APK.

Por tanto, sería absurdo que INRIA se negara a publicar el código completo con el pretexto de no querer poner en peligro la seguridad del sistema. ¿No hay soluciones más efectivas que la seguridad a través de la oscuridad? También es lamentable que el repositorio esté alojado en GitLab de INRIA, por lo que los boletos solo se pueden abrir mediante invitación y las solicitudes de retiro están completamente cerradas.

Como si eso no fuera suficiente, INRIA ha publicado el código fuente bajo una licencia especial que prohíbe específicamente las bifurcaciones y la redistribución de fuentes. Una planta de gas legal, no una licencia simple, libre y transparente, se considera un usuario de Internet. A estos últimos también les resulta bastante curioso (sin mencionar el truco) que exijan el respeto de una licencia tan compleja como absurda mientras que ellos mismos no respetan las licencias de código abierto que son mucho menos restrictivas para las librerías incluidas en TousAntiCovid. verificación.

READ  Se detectaron configuraciones de computadora recomendadas

En resumen, la publicación del código fuente de TousAntiCovid es simplemente una falsa buena noticia. ¿Podemos justificar la publicación de dicho código en parte adicionalmente bajo una licencia propietaria cuando sabemos que en otros lugares, por ejemplo en Suiza, una aplicación similar es completamente gratuita y de código abierto y todas las contribuciones externas son aceptables?

Fuentes: GorjeoY Sección INRIA GitLab

¿Y usted?

Publica el código fuente de TousAntiCovid en parte y bajo licencia de propietario, ¿qué opinas?

Ver también:

La Unión Europea presenta una billetera digital adaptada a la vida post-Covid para permitir a los ciudadanos acceder a servicios públicos y privados en línea
Covid-19: se ha llegado a un acuerdo sobre la Tarjeta Sanitaria Europea, estará disponible en el teléfono inteligente, pero también en papel
La adopción empresarial de la IA se ha acelerado en Europa debido a COVID, pero solo el 27% lo ha implementado en el contexto de su negocio, según IBM.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *