Home News C’è una falla critica nell’open source: la carenza di soldi
C’è una falla critica nell’open source: la carenza di soldi PDF Stampa E-mail
Venerdì 20 Febbraio 2015 11:00

Tanti progetti, bella community, ma pochi fondi. Questo è il problema rilevato dal direttore esecutivo di Linux Foundation, Jim Zemlin, che guarda al mondo open source con rammarico, in quanto crede che servano più investimenti e fondi monetari da investire soprattutto nell’ambito della sicurezza, per evitare i problemi avuti di recente, come la falla Heartbleed di OpenSSL.

Parlando dalla Linux Foundation Collaboration Summit, un evento in conclusione a Santa Rosa, California, Zemlin sembra aver preso le distanze e un attimo di pausa dal suo personale sostegno al mondo Linux e open source, per sottolineare che la comunità open source ha necessità di fare molto di più per affrontare la sicurezza.C'è una falla critica nell'open source: la carenza di soldi

La vulnerabilità Heartbleed nella libreria di crittografia OpenSSL, per Zemlin è solo l’inizio e sostiene che ci siano stati una serie di attacchi di alto profilo provenienti dai progetti open source che hanno portato a problemi di non poco conto. Così, secondo Zemlin, ci si è trovati a spendere centinaia di milioni di dollari per rimediare a una vulnerabilità che si poteva evitare con una spesa inferiore e diluita nel tempo.

Secondo Zemlin, infatti, l’approccio della community open source a questa tipologia di problemi è completamente errato. Si interviene come chirurghi, si identifica il problema, si opera per rimediare e poi si passa alla gestione della crisi successiva. Secondo Zemlin, però, l’approccio migliore sarebbe quello tipico del personal trainer, che lavora tutti i santi giorni per mantenere tutto in buona salute, in modo da evitare di doversi rivolgere al medico.

Insomma, Zemlin crede che prevenire sia meglio che curare, ma per prevenire è necessario investire soldi.

L’approccio che si dovrebbe adottare è simile a quello dell’iniziativa Core Infrastructure Initiative (CII), lanciata l’anno scorso per affrontare l’emergenza Heartbleed e tutte le necessità di sicurezza che potrebbero scoprirsi su altri progetti open source.

All’associazione CII partecipano 20 grandi aziende tra cui Amazon, Cisco, Google, HP, IBM, Intel, e Microsoft e uno dei principali modi con cui il CII affronta il problema della sicurezza è semplicemente garantendo finanziamenti e borse di studio per gli sviluppatori che costruiscono e mantengono parti critiche dei software open source.

E di questi finanziamenti ne servono davvero tanti.

Tanti esempi della carenza di finanziamenti nel mondo open source

Ad esempio, all’inizio di questo mese, lo sviluppatore di GNU Privacy Guard, Werner Koch ha rivelato di riuscire a ottenere un finanziamento misero di soli 25 mila dollari l’anno, e che senza un finanziamento supplementare avrebbe dovuto abbandonare il progetto.

E ancora, Harlan Stenn, maintainer del Network Time Protocol demon (NTPd) ottiene anche lui solo 25 mila dollari all’anno. Mentre la fondazione OpenSSL ricava meno di 2.000 dollari all’anno che servono anche a foraggiare i due sviluppatori Steve Henson e Steve Marquess.

Zemlin ha commentato così la situazione di OpenSSL: “C’erano un numero sufficienti di occhi per rilevare la falla? No, non ci sono occhi qui. Ci sono solo due ragazzi di nome Steve e ho sentito che hanno anche un bel cane. Il cane non stava di certo facendo la revisione del codice.”.

Il commento si riferisce, ovviamente, alla massima del mondo open source, secondo cui “dato un numero sufficiente di occhi, tutti i bug vengono a galla”. Ma gli occhi sono proprio gli elementi che mancano, perché manca la liquidità necessaria per finanziare anche eventuali collaboratori esterni con cui effettuare controlli di codice indipendenti sui progetti open source.

Dal canto suo, la Linux Foundation ha deciso di finanziare da sé alcuni sviluppatori in ambito sicurezza, in modo da risollevare le sorti del mondo open source e dare così il buon esempio.

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.