Comparação de Software open-source para Gestão de Eventos
de natureza Científica
Miguel Gamito 1, Carlos Serrão 2
1) ISCTE-IUL/ADETTI-IUL, Lisboa, Portugal
miggamito@gmail.com
2) ISCTE-IUL/ADETTI-IUL, Lisboa, Portugal
carlos.serrao@iscte.pt
Resumo
Ao longo deste artigo, os autores vão identificar o estado da arte dos Sistemas de Gestão de Eventos de natureza Científica (SGEC) no mundo open-source. Para isso foi conduzida uma pesquisa na WWW, recorrendo aos dois principais sites e repositórios de referência open-source: o Freshmeat e o SourceForge. Durante a pesquisa realizada foi possível identificar 5 aplicações que foram depois alvo de comparação ao nível das suas principais funcionalidades, da utilização que fazem das normas e ainda da segurança do seu próprio código fonte.
Palavras chave: eventos científicos, open-source, sistemas de informação, web.
1.
Introdução
O software open-source (OSS) está cada vez mais presente no mercado actual do soft-ware,
tendo mesmo em certas áreas específicas não só rivalizado, como mesmo superado a concorrência comercial, tornando-se como a principal referência [Netcraft 2011]. Existem exemplos de grandes sucessos no mundo open-source, como seja o caso do Apache Web server, que lidera destacado no mercado dos servidores Web [Netcraft 2011]. Um outro exemplo clássico é o Firefox, que lidera na categoria dos navegadores de Web relegando o Internet Explorer para um segundo quase terceiro lugar, já que o Chrome, que apesar de não ser integralmente open-source (embora o projeto que lhe dá origem, o Chromium o seja, e de integrar ele próprio um conjunto de tecnologias open-source) tem uma edição comunitária e está muito próximo de o alcançar [W3Schools 2011].
O mercado do OSS tem crescido a um ritmo elevado esperando-se que atinja os 8.1 mil milhões de euros em 2013. Este facto, aliado à crise económica que actualmente se verifica, tem levado diversos fabricantes de software tradicionais a adoptar este tipo de modelo de negócio [Fauscette et al. 2009].
Este artigo, que é parte integrante de um trabalho mais abrangente (construção de uma aplicação SGEC), vai efectuar uma análise e uma comparação das diversas ferramentas open-source existentes que permitem a gestão (e2e) integral de eventos de natureza científica, procurando-se obter desta forma o estado da arte das aplicações SGEC em regime open-source. Assim, e com vista à obtenção desses resultados foi definido um conjunto de critérios de avaliação e estabelecido um ambiente de testes virtual, no qual foi instalado o seguinte software: OpenConf, Web Conference Management Tool, MyReview e IAPR Commence.
Por forma a atingir o objectivo proposto neste artigo, foram efectuadas pesquisas em repositórios de projectos open-source. Considerou-se para este efeito, dois dos mais conhecidos repositórios: o Freshmeat (http://freshmeat.net) e o SourceForge (http://sourceforge.net).
Neste estudo não foram consideradas outras soluções que, apesar de serem muito utilizadas na área dos SGEC e de serem de utilização gratuita, não são na verdade OSS. Assim, ficaram de fora deste estudo a ConfTool (http://www.conftool.net/) e o EasyChair (http://www.easychair.org/).
Depois desta introdução inicial, o artigo vai apresentar a metodologia que irá ser usada pelos autores do artigo para efectuar os testes às diversas ferramentas e determinar quais são as principais funcionalidades de cada uma delas. Na secção seguinte, é apresentada a análise funcional das diversas ferramentas SGEC open-source que foram consideradas neste artigo. Finalmente, são apresentadas as conclusões do estudo comparativo que foi realizado e os resultados são discutidos.
2.
Metodologia
Nesta parte do artigo será apresentada a metodologia que foi utilizada para efectuar a comparação e a análise das ferramentas de SGEC open-source.
2.1 Procedimentos de Teste
De forma a poder efetuar os testes às múltiplas aplicações SGEC open-source foram utilizadas máquinas virtuais idênticas (copiadas a partir da mesma máquina base), instaladas num sistema operativo Ubuntu Server 10.10, com 512 MB de RAM e 10 GB de Disco Rígido. Ao nível dos serviços, as máquinas virtuais possuem instalado um LAMP Server, o OpenSSH server, e o PHPMyAdmin, este último para um acesso mais facilitado às bases de dados das aplicações, proporcionando uma interface Web para acesso às mesmas.
Todas as aplicações testadas utilizam a mesma arquitetura. Esta arquitectura é composta por um servidor Web Apache, pela linguagem de programação PHP e Base de Dados MySQL. Esta arquitetura é a mais utilizada atualmente na Internet/WWW [Pingdom 2007] e é utilizada por muitos projectos OSS. A sua instalação e configuração está muito simplificada no sistema operativo escolhido.
2.2 Funcionalidades a comparar
Relativamente à comparação entre as múltiplas ferramentas SGEC open-source, esta foi efectuada com base nas suas funcionalidades, tendo-se considerando as seguintes:
· Detecção/resolução de conflitos de interesse;
· Correcta e balanceada distribuição dos artigos pelos revisores.
Estas duas funcionalidades são essenciais neste tipo de software SGEC e permitem poupar o recurso mais escasso neste tipo de eventos - o tempo. Se os conflitos de interesse forem previamente detectados e correctamente resolvidos pela aplicação antes de se iniciar a fase de revisão, e ainda se os artigos forem corretamente (de acordo com a área científica e matérias de especialidade dos revisores) distribuídos de forma equitativa, consegue-se uma poupança significativa de tempo e de recursos.
Foram igualmente consideradas outras três funcionalidades que estão relacionadas com as tarefas administrativas que necessitam de ser desempenhadas neste tipo de eventos:
· Geração online de Proceedings/Actas do evento;
· Geração online de artigos em formato “Camera Ready” (versão final dos artigos); · Geração automática do programa do evento online.
Adicionalmente foram consideradas ainda funcionalidades que se prendem com a gestão financeira do evento. Estas funcionalidades podem não ser tão importantes para eventos de pequena dimensão, mas são muito importantes em grandes eventos onde se tem de efetuar uma gestão cautelosa de orçamentos e de valores obtidos através de patrocínios:
· Inscrições online para a conferência; · Gestão de orçamento;
· Aceitação de pagamentos online.
Como se trata de OSS incluiu-se ainda dois termos de comparação específicos, muito importantes e recomendados pela OSS-Watch [Metcalfe 2011]:
· Normas e Interoperabilidade; · Actividade do Projecto.
As “Normas e Interoperabilidade” prendem-se com o uso pela aplicação de normas, tanto para a entrada como para a saída de dados. Este é um requisito de vital importância, pois vai permitir a interligação com outro software. Um exemplo seria, por exemplo, efetuar lançamentos contabilísticos num software de faturação e de gestão contabilística directamente a partir da aplicação SGEC.
A característica “Actividade do Projecto” refere-se ao estado do projeto, e se o mesmo está activo ou não. Quando é criado um projecto OSS novo é também gerada uma comunidade. E é do estado dessa comunidade que o projecto vai depender: Se o projeto se mantiver interessante e conseguir manter a comunidade cativa, então vai evoluir, vão sair novas versões com novas funcionalidades. Quando um projecto se torna pouco activo, vai ficando parado no tempo, e num mercado onde os projectos vivem das horas livres dos seus mentores e comunidade (na maioria dos casos), isto pode querer dizer o fim da evolução do mesmo.
Por fim, foi igualmente testado o código das aplicações SGEC seleccionadas em relação aos ataques aplicacionais mais comuns na WWW atual: o XSS e SQL Injection [OWASP 2010]. Sem nunca se pretender estudar a segurança da aplicação a fundo, pretendeu-se somente testar se esta é ou não permeável a estes ataques (aplicados de forma simplificada). Foram para isso utilizadas as seguintes ferramentas open-source:
· Exploit-me Tools da Security Compass [Security Compass 2011], que permitem testar ataques XSS, SQL Injection e ainda efetuar uma manipulação de cabeçalhos nos pedidos HTTP. As aplicações Exploit-me consistem em diversos extras para o navegador Firefox.
· Ferramenta ZAP (Zed Attack Proxy) da OWASP [OWASP-ZAP 2011]. Esta é uma aplicação desenvolvida em Java e que recorre a um proxy para efetuar os testes aplicacionais;
· Ferramenta webSecurify [Websecurify 2011], que consiste num extra para o navegador Chrome da google e que não é mais do que um web scanner que varre a aplicação à procura das falhas mais conhecidas na mesma.
Por forma a processar os resultados obtidos, foi estabelecida uma escala simples consistindo em três valores de avaliação (Good, Fair, Poor). Por forma a atribuir este valores utilizou-se sempre como referência os melhores resultados obtidos por uma das aplicações, e a inexistência de falhas de segurança graves.
Para efectuar os testes, as ferramentas foram executadas nos três pontos principais das aplicações SGEC: o formulário de entrada da aplicação, o formulário de submissão de artigos e o formulário de registo de utilizador. No caso da ferramenta ZAP analisou-se cada uma das
aplicações como um todo, já que esta ferramenta inclui mecanismos que permitem percorrer todo o site e depois aplicar a análise de vulnerabilidades a todo o site.
3.
Análise Funcional das SGEC
Nesta secção irá ser apresentada a análise das funcionalidades identificadas nas ferramentas SGEC open-source selecionadas.
3.1 Análise 3.1.1 OpenConf
O projecto OpenConf é um dos SGEC mais utilizados em todo o mundo [OpenConf Portfolio 2011]. O seu modelo de negócios contempla duas versões: (a) uma versão comunitária (community edition) e (b) uma edição profissional. Para os testes foi utilizada a versão comunitária 4.0 (embora entretanto já exista uma versão um pouco mais recente - versão 4.01) [OpenConf 2011].
Assim, e de acordo com a lista de funcionalidades/caraterísticas identificadas anteriormente, podemos determinar que:
· Detecção/Resolução de Conflitos de Interesses: a organização de pertença e o email são validados. Caso algum dos dois seja semelhante ao de um membro do comité de revisão é gerado um possível conflito de interesses. Não existe validação do domínio do email, o que leva a que dois emails do mesmo domínio não gerem um alerta de conflito de interesses.
· Correcta e balanceada distribuição dos artigos pelos revisores: os artigos são agrupados de acordo com os tópicos pré-estabelecidos para o evento. Estes tópicos também estão afectos aos revisores, de forma a que a aplicação efectue a distribuição dos artigos de acordo com a área de especialidade. Este processo de distribuição pode ser efectuado manualmente ou automaticamente. Caso se opte pelo processo automático, acede-se a um formulário de optimização do algoritmo de distribuição dos artigos que permite efectuar diversos ajustes, desde o número de revisores que vai avaliar um artigo, passando por o número máximo de artigos por revisor e o valor de intervalo máximo entre o número máximo de artigos atribuídos a alguém e o número mínimo. Os valores que estão definidos por defeito são suficientes para a maioria dos casos.
· Geração de Actas e Geração automática do Programa da Conferência online: Estas funcionalidades só se encontram disponíveis na edição profissional, de acordo com o site da aplicação[OpenConf 2011].
· Inscrições online para a conferência, Gestão de orçamento, Aceitação de pagamentos online e Geração online de artigos em formato “Camera Ready”: nenhuma destas funcionalidades estão disponíveis nesta ferramenta nem mesmo na edição profissional. · Normas e Interoperabilidade: é permitida a escolha entre diversas normas para o
formato dos artigos a submeter. Todos os dados da aplicação podem ser exportados em diversos formatos, o que facilita a integração da aplicação com outras aplicações.
· Actividade do Projecto: é um projecto que apresenta uma evolução activa e constante que pode ser comprovada com o seu mais recente lançamento, a versão 4.01, e que apresenta no repositório Freshmeat um vitality score de 55.1. Este projecto efectuou 10 lançamentos de novas versões desde 2008 e é um dos SGEC mais utilizados no mundo [OpenConf 2011].
· Análise do código ao nível da segurança: a aplicação ZAP não encontrou erros considerados graves na aplicação – apenas detectou três avisos, sendo que um deles se reporta ao navegador web utilizado e não à aplicação. A aplicação Websecurify também não encontrou falhas de segurança relevantes. O conjunto de aplicações Exploit-Me não encontrou quaisquer falhas graves ao nível de SQL Injection e de XSS, somente alguns avisos. Em relação à manipulação dos cabeçalhos de HTTP, verificou-se uma falha quando se utilizou um cabeçalho com valor aleatório. De qualquer forma, todas as outras aplicações testadas são permeáveis à mesma falha, daí que se tenha utilizado os resultados desta como padrão para comparação e atribuição de classificação na tabela de resumo.
· Documentação: o site da aplicação tem um manual do tipo FAQ. Esta documentação apesar de parca é suficiente para aprender a utilizar a aplicação.
· Outros aspectos relevantes: a aplicação permite a exportação de diversa informação relacionada com a conferência em diversos formatos (CSV, XML, Texto e até mesmo em XLS). Esta informação pode consistir nos membros do comité da conferência, os artigos submetidos (os títulos e os dados dos autores) ou mesmos os dados dos revisores. A aplicação permite a criação de revisores seniores (denominados na aplicação “advocate”), que consistem em especialistas na área e que vão ter acesso às revisões dos artigos e dar também a sua contribuição. Existem no site diversos módulos para estender as funcionalidades da aplicação, embora muitos destes módulos só estejam disponíveis para a edição profissional.
3.1.2 Web Conference Management Tool (wcmt)
Foi utilizada em duas conferências em 2002 e 2003 e é considerada pelos seus autores como uma ferramenta de groupware, cujo objetivo é juntar todos os participantes numa conferência cientifica na mesma plataforma[Rizzoli 2011]. A versão testada foi a 0.3.0.
Assim, e de acordo com a lista de funcionalidades/caraterísticas identificadas anteriormente, podemos determinar que:
· Detecção/Resolução de Conflitos de Interesses: A aplicação não efectua qualquer detecção de conflitos de interesses.
· Correcta e balanceada distribuição dos artigos pelos revisores: Os artigos são distribuídos manualmente aos revisores pelo Convenor(designação do administrador). · Inscrições online para a conferência, Gestão de orçamento e Geração online de artigos
em formato “Camera Ready”: Estas funcionalidades não estão disponíveis na aplicação. · Aceitação de pagamentos online: A aplicação pode receber dois tipos distintos de
pagamentos online(paypal e CommWeb). Permite a configuração da moeda, preço para estudante e não estudante, preço com e sem refeição e ainda o estabelecimento de prazos de pagamento. Permite o controlo dos pagamentos, e ainda o controlo das inscrições pagas e não pagas.
· Geração de Actas e Geração automática do Programa da Conferência online: A aplicação não contempla nenhuma destas funcionalidades.
· Normas e Interoperabilidade: Permite a escolha do formato do ficheiro do paper para submissão.
· Actividade do projecto: O último lançamento foi a versão testada(versão 0.3.0), que aconteceu em 2009. O primeiro lançamento aconteceu em 2003 e houveram 5
lançamentos até 2009. A SourceForge reporta que a última actividade que aconteceu no projecto foi em 26 de Outubro de 2010. O projecto não se tem mostrado muito activo. · Análise do código ao nível da segurança: A aplicação ZAP encontrou uma falha grave
na aplicação mostrando que é possível efetuar XSS ataques à aplicação no formulário de registo mais concretamente no ficheiro register_1.php. O websecurify não encontrou falhas na aplicação. As ferramentas Exploit-me encontraram falhas no formulário de entrada da aplicação com permeabilidade a ataques SQL Injection. Uma posterior inspecção da tabela de utilizadores da base de dados revelou que esta se encontrava populada com dados aleatórios. Em relação à manipulação dos headers HTTP a aplicação apresenta-se ao mesmo nível do padrão utilizado.
· Documentação: No pacote da aplicação existe uma pasta denominada doco que contém um documento em formato PDF(que cobre a instalação), um pequeno glossário e um workflow do processo de submissão de papers da aplicação. Trata-se de um manual muito técnico e focado nos pré-requisitos e nos procedimentos de instalação. Verificou-se a inexistência de um manual de utilizador.
· Outros aspectos relevantes: A aplicação permite estabelecer um número máximo de páginas por artigo, mas somente vai indicar ao autor este limite, não efectuando qualquer validação do mesmo. Apesar da aplicação não gerar as Actas online, permite a cobrança de um CD da conferência com estas. Este CD tem de ser criado pelo utilizador/administrador fora da aplicação.
3.1.3 MyReview
Esta aplicação apara além da mesma arquitectura base, utiliza a Zend Framework. Tem suporte comercial através da empresa Francesa KarmicSoft [Rigaux 2011], empresa na qual trabalha o administrador do projecto Esta aplicação surgiu em 2003 e foi utilizada pela primeira vez para gerir uma conferência da ACM acerca de Sistema de Informação Geográfica [Rigaux 2010]. Assim, e de acordo com a lista de funcionalidades/caraterísticas identificadas anteriormente, podemos determinar que:
· Detecção/Resolução de Conflitos de Interesses: A detecção de conflitos de interesse é baseada na comparação do primeiro e último nome do autor com o dos revisores, e ainda através da organização de afiliação de autores e revisores. A aplicação permite ainda a criação de um formulário adicional de submissão, com perguntas personalizadas.
· Correcta e balanceada distribuição dos artigos pelos revisores: A aplicação permite a distribuição automática dos artigos baseada nos tópicos(à semelhança do OpenConf) e nas licitações(bids) dos revisores. As licitações e os tópicos são a base do algoritmo de balanceamento e distribuição automático dos artigos presente na aplicação.
· Geração online de artigos em formato “Camera Ready”: A aplicação recebe artigos em formato “Camera Ready”, mas não os gera online.
· Inscrições online para a conferência: A aplicação só permite a inscrição online de autores, não permite a inscrição de público. No manual da aplicação está escrito que permite mas não se conseguiu encontrar nenhuma forma de o fazer.
· Gestão de orçamento e Aceitação de pagamentos online: A aplicação não permite a gestão financeira, mas permite a recepção de pagamentos online, através de uma “paypal business account”. A aplicação também permite a definição de preços para a conferência.
· Geração automática do Programa da Conferência online: Gera o programa da conferência automaticamente. Para tal são definidos espaços temporais(time slots) e sessões. As sessões são associadas aos espaços temporais e os artigos aceites são associados às sessões. As sessões tem ainda atribuido um responsável e uma sala. Permite efectuar ajustes manuais no programa gerado.
· Normas e Interoperabilidade: A aplicação permite escolher entre os formatos DOC, PDF, texto e ZIP. Estes formatos de ficheiro são associados às diferentes fases da conferência e podem ser tornados obrigatórios. Para que se possa exportar as actas da conferência, os artigos em formato Camera Ready tem de ser submetidos em formato pdf.
· Actividade do projecto: O lançamento mais antigo disponível data de 20-11-2008, estando agora o projetco no seu segundo lançamento(de 8-12-2010). É um projecto relativamente recente e aparenta ser activo. O site de demonstração contém uma conferência para Maio deste ano. A última alteração no projeto registada pela SourceForge data de 6-06-2011.
· Análise do código ao nível da segurança: A aplicação ZAP regista um alerta de nível médio que se prende com a permissão de Directory Browsing. Esta permissão vem activada por defeito no apache para o directório raíz(neste caso /var/www), e como a instalação desta aplicação implica o redirecionamento da pasta raiz para a pasta da aplicação, essa opcção fica activada, pelo que é necessário colocar a seguinte opção no ficheiro de configuração presente na pasta sites avaliable: Options -Indexes, resolvendo-se desta forma esresolvendo-se alerta. O webresolvendo-securify não encontrou falhas de nível alto ou crítico, apenas alguns alertas que não representam riscos significativos. As ferramentas Exploit-me não registaram qualquer falha ao nível de ataques XSS e SQL Injection. O ataque de manipulação de headers é que devolveu uma série de problemas graves com os ataques com o método HEAD e com métodos de nome aleatório.
· Documentação: No pacote de instalação contém uma pasta designada doco, onde se pode encontrar um manual do utilizador em formato PDF. Este manual inclui para além dos procedimentos de instalação, todas as explicações necessárias para que o utilizador consiga tirar partido da aplicação. De todas as aplicações testadas este manual é o melhor e esta aplicação a mais bem documentada.
· Outros aspetos relevantes: A aplicação permite a obtenção da lista do público da conferência. O MyReview permite blind reviews, que consistem na revisão de artigos sem que os revisores tenham acesso aos dados sobre os autores. Uma outra ideia muito interessante implementada nesta aplicação foi a implementação de fóruns de discussão para a avaliação dos artigos. Estes fóruns podem ser um por artigo ou um único fórum global. No fórum global todos os revisores têm acesso às revisões de todos os artigos e podem postar comentários acerca desta. Os revisores conseguem ver todos os artigos excepto os tenham gerado conflitos de interesses com eles. A aplicação permite a geração de um booklet com os resumos da conferência. O formulário de avaliação de artigos pode ser personalizado pelo Chair/administrador, permitindo a atribuição de pesos aos critérios definidos. Outra opção interessante presente na aplicação é o impresonate, que permite ao administrador assumir o perfil de qualquer outro utilizador da aplicação por forma a ver o que este vê e a ter os mesmos acessos. Esta opção é óptima para debugging.
Trata-se de uma aplicação relacionada com a Universidade Australiana de Queensland, apesar de ter no projecto programadores de outras Universidades Mundiais e Institutos. O administrador do projecto foi presidente da Australian Pattern Recognition Society durante dez anos e utilizou a aplicação na gestão dos eventos anuais desta organização. O nome da aplicação vem da International Association for Pattern Recognition(IAPR). A aplicação foi desenhada para ser o mais simples possível.
Assim, e de acordo com a lista de funcionalidades/caraterísticas identificadas anteriormente, podemos determinar que:
· Detecção/Resolução de Conflitos de Interesses: A aplicação não tem nenhum mecanismo que implemente esta funcionalidade.
· Correcta e balanceada distribuição dos artigos pelos revisores: A distribuição é efectuada por tópicos, sendo estes associados às áreas de especialidade dos revisores. Apesar da distribuição poder ser automática, não existe nenhum mecanismo de balanceamento dos artigos. Permite a licitação dos artigos(bid) pelos revisores.
· Gestão de orçamento, Aceitação de pagamentos online, Inscrições online para a conferência e Geração online de artigos em formato “Camera Ready”: A aplicação não implementa nenhuma destas funcionalidades.
· Geração de Actas e Geração automática do Programa da Conferência online: A aplicação permite a exportação de todos os papers submetidos à conferência em formato comprimido(ZIP). A aplicação permite a geração completa do programa da conferência online. Permite a reserva de sala e a atribuição de salas a sessões. De todas as aplicações SGEC testadas esta é a que apresenta a geração do programa mais completa, permitindo a gestão de salas, sessões, duração das comunicações, tipos de comunicações, etc.
· Normas e Interoperabilidade: Trabalha somente com o formato PDF.
· Actividade do Projecto: O único lançamento da aplicação data de 26-08-2008, a última alteração efectuada na aplicação data de 22-03-2010, segundo a SourceForge. A última conferência que utilizou esta aplicação, data de 2006, segundo dados do próprio site da aplicação[IAPRCommence 2011].
· Análise do código ao nível da segurança: A aplicação ZAP encontrou duas vulnerabilidades graves a ataques XSS, estas vulnerabilidades encontram-se presentes no formulário de registo de utilizadores e de recuperação de password perdida, mais concretamente nos ficheiros user/forget_pwd.php e user/registration.php. O websecurify apontou alguns warnings, mas não os considerou alertas graves ou de alto risco, apesar de consistirem nos mesmos alertas encontrados pelas duas outras ferramentas utilizadas. Relativamente às ferramentas Exploit-me a aplicação passou nos testes de SQL Injection, mas voltou a ter problemas nos testes de XSS, revelando vulnerabilidades graves no formulário de registo de utilizadores, tal como tinha acontecido com o teste efetuado pela ferramenta ZAP. Em relação à manipulação dos headers a aplicação esteve no nível padrão.
· Documentação: No site da aplicação existe alguma documentação. Esta documentação é simples e minimalista.
· Outros aspetos relevantes: A aplicação permite a criação online de cartões de identificação para a Conferência. A falha mais grave encontrada na aplicação foi mesmo a falta de um formulário para alteração/definição dos tópicos da conferência. 3.1.5 YaCOMAS
É um projecto mexicano e o seu nome significa Yet another Conference Management System. Foi criado para ajudar na gestão do Festival GNU/Linux y Software Libre[YaCOMAS 2011], e talvez por esse facto seja um software mais orientado para a gestão de eventos do que para a gestão de conferências cientificas.
· Detecção/Resolução de Conflitos de Interesses e Correcta e balanceada distribuição dos artigos pelos revisores: A aplicação não tem nenhuma destas funcionalidades e nem pede ao utilizador os tópicos quer para os artigos quer para a conferência. Também não são pedidas as áreas de especialidade dos revisores.
· Gestão de orçamento, Aceitação de pagamentos online e Geração online de artigos em formato Camera Ready: Nenhuma destas funcionalidades é suportada pela aplicação. · Inscrições online para a conferência: É a única aplicação testada que permite a inscrição
de público online. Permite ainda a escolha, a partir do programa das sessões, de quais se pretende assistir.
· Geração de Actas e Geração automática do Programa da Conferência online: A aplicação não permite a geração dos proceedings online, mas permite a geração automática do programa da conferência.
· Normas and Interoperabilidade: Não existe qualquer controlo sobre os documentos submetidos à conferência, nem definição de formatos a utilizar.
· Actividade do Projecto: Trata-se de um projeto recente, sendo a versão testada o primeiro lançamento(é uma versão alpha), datada de 7-10-2010. O Projecto foi criado em 2004, e está agendada uma migração do código para a framework codeigniter(http://codeigniter.com), segundo o site da aplicação[YaCOMAS 2011]. Foi adicionado ao código um novo módulo, por Balsamiq Mockups, que permite a recepção de pagamentos online[YaCOMAS 2011]. Esta versão com o novo módulo foi utilizada para gerir o Festival de Software Libre Vallarta 2010. Esta versão não foi testada por se tratar de uma ramificação da versão original e não de um lançamento oficial.
· Análise do código ao nível da segurança: A aplicação ZAP não encontrou nenhuma falha grave ou critica, apenas uma falha de risco médio que se prende com a listagem das diretorias do Apache, e isso é facilmente corrigível como se comprova na análise de segurança da aplicação MyReview. O websecurify só conseguiu efetuar os testes no formulário de submissão e não encontrou falhas graves ou críticas a apontar neste. As ferramentas Exploit-me não encontraram falhas graves ou críticas ao nível de XSS e de SQL Injection, relativamente à manipulação de headers a aplicação atingiu ao nível padrão.
· Documentação: Outro grande problema desta aplicação. Não existe documentação online, estando a página destinada em construção. Junto do pacote de instalação existe uma pasta denominada doc, que somente contém as instruções de instalação. A única coisa que se assemelha a documentação é um Diagrama de classes UML em PNG e formato DIA, disponível na sub pasta diagrams, da pasta Yacomas_reference, no pacote de instalação.
· Outros aspectos relevantes: Esta aplicação permite a gestão de conferências relacionadas e também permite a gestão de lugares disponíveis por conferência.
4.
Discussão de Resultados e Conclusões
Nenhum do software open-source que foi analisado possuía integralmente todas as funcionalidades que haviam sido identificadas e sobre as quais haviam sido testados. Aquele
que mais se destacou na análise realizada foi o OpenConf. O OpenConf é de todos estes claramente o que tem a maior base de instalação, e certamente o projeto mais activo. O OpenConf destaca-se dos demais por apresentar, na sua edição comunitária, uma grande simplicidade de instalação e utilização, sem contudo descurar funcionalidades importantes na gestão de uma evento científico, o balanceamento e distribuição correcta dos artigos pelos revisores e a gestão de conflitos de interesses. Importa ainda destacar das demais a aplicação MyReview. Esta cumpre a maioria das funcionalidades testadas, incluindo a geração do programa e das atas online, algo que o OpenConf só permite na sua edição profissional. Por outro lado, permite ainda aceitar pagamentos online, algo que partilha com a Web Conference Management Tool. Para além das funcionalidades testadas gostaríamos de destacar nesta aplicação a possibilidade de criação de fóruns de discussão das revisões, uma ideia interessante e inovadora, que vai permitir uma interação interessante da parte dos revisores relativamente aos artigos e sua avaliação. Um ponto negativo a apontar nesta aplicação é o seu processo de instalação, claramente o mais complexo de todos. Ao nível da geração do programa online da conferência, o destaque vai para a IAPRCommence, que permite uma geração de programa bastante completa indo inclusive ao pormenor de pedir aos autores o tipo de comunicação que pretendem efectuar e o tempo de duração previsto para esta, por forma a ajustar o programa automaticamente.
Por último gostaríamos de destacar na aplicação YaCOMAS a capacidade para gerir diversos eventos ligados entre si, uma funcionalidade diferenciadora das demais analisadas. Todas as aplicações optam pela mesma estratégia na distribuição correta e balanceada dos artigos pelos revisores, ou seja, por tópicos. Sendo que o OpenConf e o MyReview apresentam funções muito interessantes de balanceamento ponderado dos artigos para atribuição automática. Ao nível da segurança praticamente todas as aplicações analisadas passaram nos testes de XSS e de SQL Injection, salvo a Web Conference Management Tool que se mostrou muito permeável a ataques de SQL Injection e o IAPRCommence que apresentou falhas de XSS. Cruzando estes dados com os da “Actividade do Projecto” verifica-se que os projetos menos activos apresentam uma propensão maior a falhas de segurança. Ainda no campo da segurança os ataques , baseados na manipulação de cabeçalhos HTTP, obteve-se resultados semelhantes em todas as aplicações, tendo-se destacado pela negativa o MyReview que apresentou uma grande propensão de falha perante este ataque.
Concluindo resta-nos salientar que nenhuma das aplicações testadas permite a gestão financeira da conferência. Relativamente a todas as restantes funcionalidades, se pudéssemos misturar todas as aplicações ficaríamos certamente com uma aplicação muito completa, já que estas se complementam sendo umas melhores que as outras em determinadas funcionalidades.
Sotware\
Funcionalidade OpenConf WCMT MyReview
IAPRCommenc
e YaCOMAS
Arquitetura Apache+PHP+MySQL Apache+PHP+MySQLL
Apache+PHP+ MySQL+ZendFr amework Apache+PHP+M ySQL Apache+PHP+M ySQL Detecção/Resoluç ão de Conflitos A NA A NA NA Correta/ Balanceada distribuição A A A A NA
Geração das Atas NA NA A A NA
Geração de artigos “Camera-Ready” NA NA NA NA NA Geração do Programa da Conferência NA NA A A A Inscrições online NA NA NA NA A
Pagamentos online NA A A NA NA Gestão de orçamento NA NA NA NA NA Normas e Interoperabilidade G S G S P Actividade do Projecto G S G S G Segurança do código G P S S G
Tabela 1. Tabela comparativa resumida
Funcionalidades: Normas, Actividade do Projecto e Segurança: A – avaliable G – Good
NA – Not Available S – Sufficient P – Poor 5.
Referências
w3schools,Browser Statistics,http://www.w3schools.com/browsers/browsers_stats.asp, (02 de Maio de 2011), 2011.
IAPRCommence, IAPR Commence Conference
System,http://iaprcommence.sourceforge.net/, (02 de Maio de 2011), 2011.
Rigaux, P., MyReview: open-source web-based paper submission and review, http://myreview.sourceforge.net/,(02 de Maio de 2011), 2011.
openconf, “OpenConf Conference Management Peer-Review Software & Hosting Service,” 02-May-2011. [Online]. Available: http://www.openconf.com/. [Accessed: 02-May-2011]. OpenconfPortfolio, OpenConfPortfolio, http://www.openconf.com/portfolio/, (11 de Junho
de 2011), 2011.
Fauscette, M. e M. Shirer, Open Source Software Market Accelerated by Economy and Increased Acceptance From Enterprise Buyers, IDC Finds
| Business Wire,
http://www.businesswire.com/news/home/20090729005107/en/Open-Source-Software-Market-Accelerated-Economy-Increased, (22 de Maio de 2011), 29 de julho de 2009. Metcalfe, R., OSS Watch - Top tips for selecting open source software,http://www.oss-watch.ac.uk/resources/tips.xml, (02 de Maio de 2011), 2011.
OWASP-ZAP, OWASP Zed Attack Proxy Project – OWASP,
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project, (11 de Junho de 2011), 2011.
Pingdom, Royal Pingdom: What the Web’s most popular sites are running on, http://royal.pingdom.com/2007/02/26/what-the-webs-most-popular-sites-are-running-on/, (11 de Junho de 2011), 26 de Fevereiro de 2007.
Security compass, SecCom Labs » Exploit-Me,
http://labs.securitycompass.com/index.php/exploit-me/, (02 de Maio de 2011), 2011. Rigaux,P., “The MY REVIEW System Version 2.00.00”, 26 de Agosto de 2010.
OWASP, Top 10 2010-Main – OWASP, https://www.owasp.org/index.php/Top_10_2010-Main, (02 de Maio de 2011), 2010.
Websecurify, Websecurify | Web Application Security Scanner and Manual Penetration Testing Tool, http://www.websecurify.com/, (13 de Junho de 2011), 2011.
Netcraft, Web Server Survey | Netcraft, http://news.netcraft.com/archives/category/web-server-survey/, (02 de Maio de 2011), 2011.
Rizzoli, A. , What is WCMT, http://wcmt.sourceforge.net/, (02 de Maio de 2011), 2011. YaCOMAS, YaCOMAS - Yet Another Conference Management System,
