ReactOS paraliza su desarrollo para auditar su código
El equipo responsable del desarrollo de ReactOS ha anunciado recientemente la paralización del desarrollo del producto, así como la suspensión de las descargas del mismo, con el fin de realizar una auditoría completa y exhaustiva de la totalidad del código fuente.
ReactOS es un proyecto cuyo objetivo principal es desarrollar un sistema operativo de código abierto compatible las aplicaciones y drivers de Windows NT y Windows 2000. Escrito principalmente en C, posee no obstante algunos componentes escritos en C++. Los componentes de ReactOS están bajo licencia GNU/GPL, GNU Lesser y BSD.
Recientemente, el equipo de desarrollo, encabezado por Steven Edwards, ha paralizado las actividades de desarrollo al existir sospechas en diversos sectores de que el código de ReactOS podría contener porciones del código sustraído de Windows 2000, incidente de seguridad registrado en los albores de 2004, momento en que Microsoft reconoció en una escueta nota de prensa estar investigando filtraciones del código fuente de Windows NT y 2000 a redes de pares P2P.
La revisión del código de ReactOS se antoja como faraónica, en palabras de los responsables, podría durar varios años, ya que se estiman en torno a 3 millones de líneas las que conforman el producto. Sin duda, es la medida más sensata, al dejar entrever varios desarrolladores del proyecto que un componente del equipo podría haber sometido a ingeniería inversa porciones de Windows sujetas a copyright, lo que violaría por consiguiente la legislación al respecto.
La tarea de revisión nace a través de la necesidad de clarificar los términos legales y de propiedad intelectual de ReactOS, acordes a las especificaciones de “Clean Room Reverse Engineering” o técnica de la Muralla China, requisito obligatorio para cumplir con la legislación norteamericana en actividades que impliquen ingeniería inversa. Mediante esta metodología, se pretende recrear un producto sin infringir ningún tipo de copyrights, derechos de autor y/o sin comprometer secretos industriales inherentes al diseño original. El respeto a la “Clean Room” hace factible que productos como ReactOS sean absolutamente legítimos. Un ejemplo mucho más gráfico es el protagonizado por Compaq en 1985, cuando reprodujo mediante “Clean Room” el diseño de la BIOS de IBM, creando el primer modelo de PC compatible clónico.
La auditoría se podría realizar de la mano del Software Freedom Law Center (SFLC), organismo con experiencia en revisiones similares, con trabajos específicos realizados sobre WINE, el emulador Windows para entornos Unix-like.
Por otro lado, Microsoft guarda prudente silencio ante lo acontecido. Según Edwards, la compañía no se ha expresado oficialmente ni ha contactado con los miembros de ReactOS. Del mismo modo, Edwards declara que la compañía no ha atendido peticiones previas del equipo de ReactOS para aclarar cuestiones legales sobre la naturaleza del proyecto. El único dato conocido es que parte del personal de Redmond está suscrito a la lista de desarrollo de Wine, según los responsables del proyecto, con lo que probablemente seguirán las evoluciones del asunto.
De demostrarse que el código de ReactOS está contaminado por porciones de código legítimo de Microsoft Windows, existiría un problema no sólo legal ni ético, sino además, de seguridad. Este argumento ofrecería más fuerza al argumento que a día de hoy casi todos dan por sentado: la fuga de código producida en febrero de 2004 provocó que partes del código de Windows estén, pese a los esfuerzos de contención de la compañía, en manos de usuarios con capacidad plena no sólo para efectuar ingeniería inversa, sino también de investigar métodos avanzados de explotación basándose en lo revelado por el código.
En cualquier caso, este asunto añade nuevos tintes al caso más famoso de filtración, con permiso del robo de código de Half Life 2, un caso que no termina de cerrarse. Hace pocos días, un hombre fue condenado a dos años de prisión en Connecticut, EEUU, precisamente por la venta del famoso código. Un código filtrado sobre el que, hoy por hoy, no existe certeza total sobre contenidos ni sobre las implicaciones reales que la fuga ha podido tener o puede tener sobre la seguridad de los sistemas que utilicen dicho código. El caso sigue abierto y los cabos, pendientes de ser totalmente atados.