Após apresentação no 10º FGSL (Forum Goiano de Software Livre), fui instado a comentar sobre o artigo "Segurança de Software: código aberto versus fechado faz diferença quando tratamos de vulnerabilidades em programas?". Respondendo, postei anonimamente na seção de debate daquela publicação os comentários abaixo, que aqui replico para fins de documentação.

O artigo aborda vulnerabilidades que podemos classificar de isonomicamente exploráveis, sendo nisso bem ponderado, abordando o tema com plena e exuberante autoridade, e resolutamente emprestando-lhe grande valor didático.

Mas o problema com seu enfoque é que passa ao largo de crescentes diferenças fundamentais entre software livre e proprietário, apenas tangenciadas em passagens tais como

1. "diferentes quesitos e necessidades de qualidade surgem dependendo dos objetivos do mesmo...";
   
2. "As denúncias recentes em relação a espionagem americana ainda enfatizaram a inserção proposital de vulnerabilidades em aplicações. A discussão a que me refiro surge quando os defensores de software livre utilizam tais denúncias para dizer que o melhor e mais seguro é usar software livre."

Essas tangências bem mereciam melhor tratamento sob um título tão genérico, mas fogem facilmente ao enquadramento do que normalmente se considera "vulnerabilidade de programas" quando convém. Eu também enquadraria o cerne das denúncias mencionadas na "tangência" 2.) acima como vulnerabilidades do programa, mas no sentido de defeito, pois são de fato recursos explicitados em licenças de uso de softwares proprietários, os quais deixam o usuário total e legalmente indefeso contra vazamentos e negação de serviço praticáveis pelo próprio fornecedor (leia p. ex. o item "política de privacidade" na licença do
Windows 8; é fácil em http://www.youtube.com/watch?v=inx8kii9mYY).

Entretanto, o artigo passa ao largo dos possíveis sentidos de "melhor" na citada crítica, concentrando-se na interpretação de "e mais seguro", porém, apenas pelo viés de outros problemas que são comuns a software livre e proprietário, a saber, das vulnerabilidades exploráveis por qualquer um que as conheça e saiba como. Desprezando, portanto, o sentido de defeito na especificação sob a perspectiva autonomista do usuário. Ainda, esse viés de parcialidade fica ofuscado pelo hábito -- que reputo propositadamente insuflado por interesses monopolistas na indústria de TI -- de tratar o substantivo "segurança" como algo objetivo, ou o adjetivo "seguro" como significativo, quando são altamente polissêmicos.

Veja por exemplo no artigo uma pergunta retórica que bem ilustra esse hábito: "...do que se trata então um software seguro?", cuja resposta ali passa ao largo de um tratamento isonômico à segunda e crucial tangência que mencionei acima.

O autor já no início declara que o regime de desenvolvimento em código aberto lhe é preferido, mas a ofuscação parcial do que  possa ser considerado "vulnerabilidade de programa", onde a meu ver cabe bem incluir o que entendo serem defeitos de  funcionalidade que privilegiam interesses estratégico-comerciais do fornecedor em conflito com o direito do usuário exercer autonomia sobre o funcionamento do seu próprio computador, e à qual chamo aqui atenção como bom sentido para o superlativo "melhor" na crítica mencionada na tangência 2).

O autor falha, portanto, em apresentar o que podemos considerar melhores motivos para sua declarada preferência, estes atinentes a concretos sentidos de segurança *para o usuário* (contra abuso de poder do fornecedor de software). O que pode deixar o autor bem na foto com uma gama maior de desenvolvedores, em detrimento de poder ter sido ainda mais didático em seu brillhante artigo.

---

Autor

Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília. Advanced to Candidacy a PhD pela Universidade da Cali­fornia em Berkeley. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR), en­tre junho de 2003 e fevereiro de 2006, como representante da Sociedade Civil. http://www.­pedro.jmrezende.com.br/sd.php

Direitos do Autor

Pedro A D Rezende, 2013:  Este artigo é publicado no portal do autor sob a licença disponível em http://creativecommons.org/licenses/by-nc/2.5/br/