Hace poco se dio a conocer la noticia de que en Debian, por cuestiones del mantenedor de los paquetes de KeePassXC se han aplicado cambios significativos, ya que ahora se ofrece una versión simplificada del programa que conserva solo las funciones básicas necesarias para almacenar contraseñas de forma segura en el sistema local.
Es decir, todas aquellas funciones avanzadas, como la capacidad de red, el código de administración de IPC, la integración del navegador web, la funcionalidad de contraseña automática y el soporte para claves Yubikey, se han eliminado del paquete estándar.
El mantenedor menciona que entre los motivos que lo llevaron a implementar estos cambios, se destaca el reducir la superficie de ataque y mejorar la seguridad y la privacidad.
Y aunque la decisión del mantenedor fue en relación a mejorar la seguridad y privacidad de los usuarios, muchos de ellos no tomaron a bien este cambio, ya que en lugar de generar aceptación, estos cambios han generado controversia entre algunos usuarios que esperaban mantener la funcionalidad completa de KeePassXC.
Entre los cambios que los usuarios descontentos sugirieron fue que el mantenedor de KeePassXC en Debian debería revertir el cambio y volver a ofrecer la versión original del paquete bajo el mismo nombre, mientras que la versión simplificada podría ser renombrada como keepassxc-minimal para evitar confusiones y satisfacer a aquellos que prefieren la funcionalidad completa.
Además de ello, cabe mencionar que el debate en torno a la decisión del mantenedor de KeePassXC para Debian ha generado diversas opiniones y preocupaciones. Por un lado, algunos usuarios y el desarrollador principal de KeePassXCquien señaló que los usuarios asocian la pérdida de funcionalidad con el proyecto principal y se quejan ante los desarrolladores de KeePassXC, y no ante el mantenedor del paquete en Debian
Por otra parte, el desarrollador de KeePassXC también señalo que esto podría tener repercusiones negativas en la reputación de KeePassXC como proyecto. Esto se debe a que los usuarios podrían asociar la pérdida de funcionalidad con el proyecto principal, lo que podría generar descontento y críticas hacia los desarrolladores de KeePassXC, en lugar de dirigir esas preocupaciones al mantenedor del paquete en Debian.
También se señala la cuestión de la legalidad y la ética de distribuir un paquete manteniendo el nombre del proyecto, pero con una diferencia fundamental en la funcionalidad respecto al paquete base proporcionado por los principales desarrolladores, por lo que de igual manera esto se toma como algo negativo. Esto plantea interrogantes sobre la claridad en la comunicación de los cambios y la necesidad de respetar la integridad y la imagen del proyecto original al realizar modificaciones significativas en los paquetes distribuidos.
Por otro lado, los defensores del cambio argumentan que cada funcionalidad adicional habilitada representa un riesgo potencial de seguridad, y que la distribución del paquete simplificado se limita a los repositorios inestables y de prueba para pruebas y evaluación, no en las versiones estables de la distribución.
Además, se aclara que las funciones consideradas como complementos son en realidad características incorporadas en KeePassXC, que están deshabilitadas de forma predeterminada, pero que los usuarios pueden activar según sus necesidades. La referencia a deshacerse de bibliotecas externas también se considera incorrecta, ya que el soporte de Yubikey está integrado directamente en la base de código principal de KeePassXC, sin depender de bibliotecas externas.
Sobre el caso, cabe mencionar que se ha creado un paquete separado llamado keepassxc-full que incluye todas las funciones avanzadas de la versión original. El cambio ha afectado a algunos usuarios que han experimentado una falta de funcionalidad familiar después de la actualización, lo que ha sido percibido como un problema técnico.
Por último personalmente puedo mencionar que este tipo de cambios no solo afectan la experiencia del usuario, sino que también pueden generar confusión y problemas que no tendrían por qué estar lidiando los desarrolladores del proyecto, ya que el aplicar cambios de este tipo debería primero consultarse con el equipo de desarrollo (en este caso de KeePassXC) o en su defecto no ofrecer el paquete bajo el mismo nombre que el paquete original.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
