a subversive act of playful cleverness

Fri, 01 Jul 2005

Usualmente no acostumbro entrar en dimes y diretes o en los famosos «flamewars», pero voy a hacerlo porque es bastante molesto que se afirme cosas que están lejos de la verdad y lo único que causan es lo mismo que hacen ciertas empresas de software privativo cuando hablan del software libre. Igual no deja de ser interesante clarificar las cosas y mostrar algunas cosas que existen pero pocas personas conocen al respecto.

preliminar a todo esto:
No se ha realizado en el país, hasta la fecha, una distribución de CDs de software libre de esta magnitud. FLISOL fue un festival de instalación de software libre y sus fines fueron en general demostrativos, el esfuerzo desplegado en el cual todos participamos no tiene porqué verse desmerecido por el hecho de la distribución de CDs, por último FLISOL no llego a tener todas las regiones cubiertas, sin embargo nuestra intención es complementar y ayudar a este tema, gracias a la colaboración de todos.

Empecemos...

1. Debian es absolutista con todos menos con MS Windows. Resulta una constante ver que se presenta como la "mejor" opción en el terreno de Linux y como la única Open Source 100%. Aunque esto puede caer en el terreno de los gustos, el approach es el mismo usado por los obsecados del Software Libre : no quiere decir gratis! (entre murmullos : pero DEBE ser gratis).

Entendi que se iba a ir por el lado serio de las cosas, pero bueno... Debian no debe ser gratis, hace buen tiempo esta persona tiene una confusión de libre y gratis (ergo libre = gratis / opensource = se puede cobrar), existen empresas que distribuyen los CDs por un costo y sino puedes descargalo o regalarlo.
El software libre tampoco debe ser gratis y no es un murmullo, uno puede cobrar cuanto le parezca y si alguien puede pagar ese monto entonces se produce lo que se conoce como negocios en el libre mercado en el que estamos, donde nadie puede forzar a nadie a cobrar un precio determinado, o no hacerlo, si asi lo considera o si su modelo de negocios le funciona (ver además ley de oferta y demanda).

SuSE es GPL por donde lo miren y la contribución de SuSE a esta industria s importantísima (si, industria, o todavia hay alguien que vive de enriquecer el intelecto?).

No entiendo la relación entre intelecto e industria con la contribución de la empresa mencionada. Por otro lado la corporaciones solo son parte de la industria, no son todo lo que existe y que genera desarrollo económico, tecnológico, y otros. Los aportes que realizan empresas como la mencionanda son tan igual de valiosos como los que han hecho miles de personas desde hace más de 10 años que se tiene disponible software libre en el mundo. Por algo no han comprado justamente a quienes empezaron a construir estos aportes.
Aquí existe también un pequeño problema de concepción. SuSE es una distribución del sistema GNU/Linux, es decir programas base desarrollados en su mayoría por el proyecto GNU, el núcleo Linux, más software adicional que son los que generalmente usamos (OpenOffice.org, firefox, apache, php, etc).
Muchos de éstos programas están licenciados bajo los términos de la GPL, pero no es la única licencia de software libre. Al distribuir todo este conjunto de programas de diverso origen y desarrollados en distintos modelos dentro del software libre, uno debe respetar sus términos de licenciamiento, por lo que si esta empresa desea hacer una distribución que incluye este software obviamente va a mantener la licencia de los mismos, pero ojo, esta licencia es específica a estos programas, las distribuciones comerciales también incorporan software adicional desarrollado internamente por estas empresas, este software no siempre está licenciado bajo los términos de software libre, por lo que, en principio no se puede generalizar dando el mismo tipo de licenciamiento a un conjunto de cosas cuyo licenciamiento de diverso, alli se peca nuevamente en la vieja y fud-istica confusión de libre = GPL.

Sin embargo, no se ve tal defensa cerrada con respecto a MS Windows e incluso localmente hay una presentación en el sitio de la comunidad local de Debian que tiene un slide que lo dice clarísimo.

¿Defensa cerrada? no entiendo. Lo que la diapositiva intenta decir es que el instalador de Debian tiene la característica de que si uno tiene un sistema operativo ya instalado éste lo reconoce y lo añade al menú de arranque. La foto es de una máquina del equipo de desarrollo del instalador usada para pruebas de esta funcionalidad. ¿quien promueve el fanatismo y confusión (FUD)?

Pero, de donde sale tal afirmación de los Debianistas ? Del hecho que se incluyen en SuSE algunos driver en modo binario solamente, por que ? Porque esta orientado al sector empresarial y corporativo pues y diganme si conocen mejores chip ASIC que los de LSI o mejores opciones para armar una SAN que con QLogic ?

No sabia que las coporaciones tiene un estándar que diga que solo deben usar estas marcas de hardware y los otros no pueden usarlo, ¿no será la favorita del sujeto quien la impone a sus clientes?. Hay que decir que el hardware mencionado si está soportado por las versiones del núcleo Linux que entrega Debian.

2. Estabilidad de Debian y ciclo de desarrollo. Bueno, que puedo decir ? Cuanto tiempo tomo en ver la luz Sarge (Debian 3.10) ? Debian no tiene un roadmap claro porque es desarrollado en base a un voluntariado comunitario, muy loable, pero, no adecuado para las empresas que deben planificar y determinar presupuestos.

Si hay un plan definido, no hay plazos ni ciclos programados, es cierto, se está trabajando en el tema. Pero por la características que tiene Debian como proyecto voluntario no existen presiones para apurarse.

Acuerdense que el mayor costo de la tecnología no esta en la compra de software ni hardware sino en la administración y soporte del mismo.

Exacto, por lo que necesitamos un producto que nos haga la vida más fácil y nos ahorre costes fijos.

En Debian toca esperar un buen tiempo por un kernel optimizado para escalabilidad y performance. SuSE tiene un ciclo de liberación de versiones clarísimo y respetado de 18 meses de acuerdo al proceso de desarrollo del kernel. Además, es el tiempo necesario para comprobar niveles de madurez e integración de los servicios y hardware que se usará con SuSE.

Este tema es más amplio que decir que el núcleo que entrega esta empresa tiene algunas modificaciones que quiza, o no, (tendríamos que mirar fuentes y demás) están incorporados en Debian. Hasta donde sé, el desarrollo del núcleo no tiene estos plazos de 18 meses, se publican versiones nuevas cada 2 o 3 meses y éste está en constante desarrollo, por lo que no entiendo como esta empresa puede disponer en este tiempo tan corto y entregar un núcleo reciente y modificarlo para las necesidades corporativas, a menos que utilicen una versión no tan reciente (Sarge entrega 2.6.8, pero eso son solo números).

En SuSE se usa un proceso denominado AutoBuild para la construcción de cada versión y el proceso de certificación y control de calidad está claramente definido, permitiendo que se garantize la estabilidad de la versión liberada (Pruebas de Unidad, Pruebas de Características, Pruebas de Componentes, Pruebas de Sistema y Pruebas de Stress con una fase final de Regresión).

Invito a visitar buildd.debian.org, y qa.debian.org.

Mientras no sale la versión estable de Debian, que hacer ? Usar versiones de componentes no comprobados y los conocidos backports.

Podria ser, en todo caso podemos esperar a que salga un service pack.

3. Certificaciones. Para los Debianeros, valen nada estas certificaciones. Y no me refiero solo a la ya famosa EAL de Common Criteria ni a la de LSB ni a la de OSDL CGL, me refiero también a las certificaciones de los fabricantes de hardware y software.

Debian cumple tanto con LSB y FHS, que no son certificaciones sino estándares. Se está trabajando para ser compatibles con la versión 2 de LSB en este momento. Debian asi como la empresa mencionada participa, tanto como proyecto y a través de SPI, como miembro del Free Standards Group quienes además de LSB también trabajan en temas de internacionalización, compatibilidad binaria de aplicaciones (conocida como ABI y muy importante para los ISV), especificaciones y herramientas. Es por esta misma razón que intentos de distribuciones que no cumplen con estos estándares no tienen mucho futuro.

Como saber si una versión funcionará perfectamente sobre y con un hardware en particular ? Como obtener soporte del fabricante del hardware o software ? Den una mirada a ese link en el site de HP para ver como es la "oferta" Debian de un fabricante y que apenas solo 3 equipos estan certificados para Debian. Hagan una busqueda por el site de IBM, vean que distros son soportadas, sólo les digo que no encontrarán Debian.

Veamos, en primer lugar el soporte de un hardware está dado por el núcleo, el núcleo está desarrollado en un modo distribuido donde cada parte interesada implementa soporte para un determinado tipo de hardware. Lo que hacen las empresas fabricantes es simplemente decir que ofrecen soporte si compras su hardware e instalas un determinado sistema operativo. Nada más. Debian no es mencionado entre otras cosas porqué según decisión o modelo de negocios de la empresa no le es conveniente o simplemente porque ya tienen una versión de Linux que soportan.

Y en el caso de Oracle, busquen soporte oficial de Oracle para Debian, vamos, sin miedo...

Lo mismo, y el tema pasa básicamente en principio del lado de Oracle, porque no se han establecido enlaces mutuos entre ambos, en lo cual se está trabajando.

Y esto no adiciona costos, porque lo que vende SuSE es acceso al mantenimiento por años, acceso a nuevas versiones que son soportadas durante 5 años.

Es interesante saber lo que piensa Oracle al respecto, por ejemplo: 2) Debian does not support stable releases for five years as RedHat or SuSE do.

Creo que ha incurrido en un error gravisimo de ventas, el soporte que uno compra cuando adquiere un determinado software es respecto a ese software y a esa versión, lo cual puede incluir actualizaciones sobre esa versión pero no actualizaciones a nuevas versiones del sistema, puesto que no puedo comprar soporte en promesas de algo que todavía no existe.

Sin embargo, para entrar al terreno de ISO 15408, el valor de esta certificación es lo exahustivo de las pruebas. Copio algo que postee un tiempo atrás al respecto : "Solo para rescatar la importancia de este nivel recientemente obtenido por SLES9, es el nivel mas alto que el Common Ciriteria ha desarrollado de manera efectiva hasta el dia de hoy y el nivel hasta el cual un producto existente puede llegar sin incurrir en costos de reingenieria tan excesivamente altos que nadie lo haria. Entre las cosas que se evaluan en EAL4 (el + indica que se cumplio en exceso), estan cosas como : 1. Revisión de bajo nivel del diseño del sistema

Esto es un poco dificil de realizar por el modelo de desarrollo del núcleo y en general de las aplicaciones de software libre, a menos que te involucres en la comunidad. Cosa que algunas empresas hacen y es bienvenido.

2. Tomar una muestra de codigo de programa y revisarla, no solo un programa, sino un subset completo.

En Debian se está trabajando en pruebas automatizadas para esto, el equipo de seguridad si efectúa esta revisión.

3. Analisis de Vulnerabilidad de nivel bajo en terminos de potencia del ataque.

Eso va unido con el primer tema.

4. Opciones de configuracion automatizadas de seguridad.

Crei que la seguridad no era algo para vender «de serie». En todo caso Debian ofrece un sistema con un nivel de seguridad predeterminado bastante aceptable.

5. Procedimientos de deteccion en fallas de configuracion.

Si se hace, se llama dpkg y se efectúa al momento de instalación, luego de haber pasado la transición a estable y corregido los fallos encontrados mientras tanto.

6. Detección de modificaciones.

Eso es intrínseco a herramientas externas o implementaciones del núcleo, si se habla de modificaciones o alteraciones al sistema de ficheros o ficheros de sistema.

7. Ciclo de vida de desarrollo bien definido. Esta certificacion permite que el TOE (target of evaluation) pueda ser usado en entornos de gobierno y agencias de estados para servicios de mision critica y control."

Brasil, España, Alemania y otros usan Debian a nivel gobierno.

4. Herramientas de instalación, configuración y administración. YaST, todos lo conocen, existe algo similar en Debian ?

Todos los usuarios de esta distribución lo conocen. Si, existe un proyecto para tener una herramienta central de gestión de configuraciones.

Tranquilos, desde marzo de este año YaST esta disponible para todos, integrado en arquitecturas CIM y tan solo usando un lenguaje de scripting podemos tener módulos listos para nuestras aplicaciones o simplemente usar los que vienen o modificarlos según nuestras necesidades. Quién se anima a montar YaST en Debian ? Alguien dijo yo ? Claro, uno de los primeros problemas será por los directorios (LSB y FHS pues, cosas raras para Debian).

Crei que las comparaciones iban al «terreno correcto» y no a «cosas raras para Debian». Bueno, YaST ya fue adaptado para Debian y los problemas no son «LSB ni FHS pues».

5. Disponibilidad de parches de seguridad. Cierto, en Debian estan listos más rápido, pero, eso no quiere decir que la confiabilidad del sistema operativo haya sido comprobada de manera adecuada. En el caso de SuSE, se aseguran con las pruebas mencionadas anteriormente que no se presenten incompatibilidades con otras aplicaciones y/o parches a través de todas las plataformas soportadas con el hardware y software certificado.

No entiendo que hace un parche y el tema de plataformas soportadas y certificadas juntos. Un parche de seguridad corrige o soluciona un problema de compromiso del sistema, y solo hace exactamente eso, no añade nuevas funcionalidades ni quita cosas (a menos que sean determinantes para la solución del problema), por lo que su aplicación no debe afectar al software en mención y por consiguiente al sistema en conjunto.
En Debian proceso es como sigue: Se da a conocer la vulnerabilidad por los medios usuales o através de algún desarrollador, se notifica al equipo de seguridad, en caso se disponga de un parche éste se audita, en caso se requiera se corrije el problema, se efectúan las pruebas del caso no solo de la aplicación sino con respecto a todo el sistema y finalmente si todo va bien se publica la actualización. Todo esto está regulado por las Normas de Debian. Por otro lado, no siempre los parches salen más rápido para Debian.

Asi que hay que decidir entre la seguridad de un paquete o la de todo el sistema. Ah! Y para los nuevos en temas de Seguridad de la Información, busquen el significado de CIA para que vean que si importa TODO el sistema.

Corrrecto, todo el sistema importa, es por eso que Debian tiene un procedimiento y normas al respecto.

6. Compatibilidad a través de plataformas (arquitecturas de hardware). SuSE es el único que puede ofrecer la misma experiencia tanto si se usa un IA32 como u zSeries(S/390 antes), por ejemplo, garantizando independencia de plataforma y compatibilidad de plataforma por completo mediante el proceso de AutoBuild que asegura que la experiencia sea igual en todas las plataformas inhibiendo hasta los desarrolladores de aplicaciones de temas como la optimización del sistema operativo para la plataforma que se usará en producción, puede estar tranquilo que su aplicación funcionará igual de bien en cualquiera de ellas.

Se peca nuevamente en ceguera, el soporte de arquitecturas de hardware está dado por el núcleo, todas las distribuciones basadas en el núcleo Linux, en este caso, están en capacidad de soportar un determinado hardware, no lo hacen porque primero, no existen un gran mercado para ellos, segundo los temas no pasan por tener el soporte del núcleo en sí, sino como poner el núcleo en ejecución en nuestro sistemas, es decir instalación, configuración, etc. El instalador de Debian soporta zSeries (las máquinas en mención). Y el concepto de autobuild es algo que Debian viene haciendo hace mucho tiempo.

7. Escalabilidad. Como sabemos, esto esta estrechamente ligado al kernel. Aún no encuentro el motivo por el cual Debian viene por default con un kernel 2.4.X que no es escalable para las organizaciones actuales. El kernel 2.6 solo viene disponible por default para PA-RISC y PowerPC, en Motorola viene incluso con kernel 2.2.X !!! Esto determina que SuSE en cualquier plataforma maneja la escalabilidad conocida del kernel 2.6 como soporte a NTPL, Infiniband, CKRM, NUMA, etc.

Me remito al comentario anterior. La reciente versión estable de Debian trae 2.4.27 como predeterminado y 2.6.8 como opcional, si quiere instalar éste último introduzca «linux26» en el cursor de arranque del sistema de instalación. Pero si queremos tocar el tema de escalabilidad, mejor se lo dejamos a los que saben.

8. Soporte. Aca las opciones con Debian son : la comunidad (listas de interés, foros, canales de IRC), expertos que tengan empresas y gente interna que sea experta en Linux. En verdad, cuando de dar soporte a Linux, si ya esta uno metido en Linux, no hay mucho lio, pero, cuantos estamos metidos en esto ? somos la mayoría ? seguimos pensando sólo en el mañana y no el resto de los años ? seguimos creyendo sinceramente que la CLI es la mejor forma de desplegar y administrar ?

El tema del uso de la línea de órdenes no está relacionado con el soporte disponible para sistemas basados en núcleo Linux. Creo que hay un error de visión. Ahora, obviamente en entornos grandes o corporativos las necesidades de soporte en el lugar («on-site») son distintas, pero esto no pasa por las opciones que tienes en el mercado sino por que posibilidades tienes para hacerlas más productivas y eficientes en tu entorno. Estos temas son mas que todo procesos que se implantan en la empresa que opciones las que te ofrece el mercado, si la empresa establece un proceso claro de solicitudes y atención de requerimientos de soporte se puede aliviar muchos temas ahorrando costes en horas hombre y recursos. Y todo esto no pasa por adquirir un producto o solución sino es un conjunto de cosas de las que el producto es parte. Ahora, en un entorno corporativo se requiere que los administradores tengan las herramientas que ayuden a cumplir con estos procesos. Por ejemplo administración descentralizadda, instalaciones automatizadas con configuraciones predefinidas, y administración remota.

Como comentario final quiero decir que si vamos a hablar sobre un tema o nos informemos bien o sepamos de lo que hablamos, y me refiero en especial al modelo en el que se basan todas las empresas que ofrecen productos usando el núcleo Linux y software libre. El desarrollo de éstos son intrínsecos y no son afectados por la intervención de una empresa, es decir que si por ejemplo las personas del proyecto samba deciden no seguir más por el tema de patentes, el producto de dicha empresa se vería afectado y esto no es algo que ellos pueden controlar, por lo que hay que entender el modelo en el que te basas para construir tu producto y el modelo de negocios que quieres hacer (ver caso RHEL).

Es muy reconfortante saber que el proyecto Debian ha hecho algo que es usado por diversas organizaciones y personas; es curioso, además, saber que tal cosa con tantos problemas y total desorden es motivo de comparación con otros, algo me recuerda a Cervantes.

Por último, por favor amigos corporativos usar el idioma correcto y no combinar términos de otro idioma para dar «mayor valor» a sus comentarios. Aunque es siempre importante que se aprendan el discurso de ventas.

categorías

• /FreeSoftware (26)
• /chicha (13)
• /culture (1)
• /debian (41)
• /dump (13)
• /es-debian (12)
• /inspiracion (25)
• /life (23)
• /music (13)
• /vegan (5)

tag cloud

archivos

» 2008
Apr (1)
Mar (1)
Jan (2)
» 2007
Oct (2)
Aug (2)
Jul (1)
Jun (4)
May (3)
Apr (1)
Feb (3)
Jan (3)
» 2006
Oct (2)
Sep (2)
Jul (2)
Jun (7)
May (8)
Apr (4)
Mar (11)
Feb (4)
Jan (2)
» 2005
Dec (8)
Nov (4)
Oct (8)
Sep (7)
Aug (9)
Jul (6)
Jun (3)
May (3)
Apr (6)
Mar (4)
Feb (4)
Jan (6)
» 2004
Dec (8)
Nov (9)
Oct (14)
Sep (5)
Aug (10)
May (1)
Apr (10)
Mar (14)
Feb (25)
» 2003
Dec (3)
Nov (4)
Oct (3)
Aug (2)
Jul (3)
Jun (4)
May (8)
Apr (4)
Mar (7)
Feb (5)