Home News Sicurezza dell’open source: lo stato di fatto
Sicurezza dell’open source: lo stato di fatto PDF Stampa E-mail
Mercoledì 22 Aprile 2015 10:00

Sicurezza dell’open source: lo stato di fatto

Se c’è una persona che da sempre ha lottato per la sicurezza dell’open source, pur tra mille difficoltà, quella è Werner Koch, lo sviluppatore tedesco che ha creato Gnu Privacy Guard (GnuPG), il software per la sicurezza pilastro dell’ecosistema open source.

Fin dalla sua implementazione nel 1999, GnuPG è sempre stato lo strumento di sicurezza più utilizzato al mondo, tanto da proteggere le comunicazioni e-mail dei funzionari di governo e di Edward Snowden, protagonista del recente Datagate. Eppure Koch qualche tempo fa stava per gettare la spugna, le donazioni annuali che ammontavano a soli 21.000 dollari non bastavano per portare avanti un progetto così ampio e complesso. Ma quando le rivelazioni di Snowden hanno scosso il mondo, lui ha scelto di continuare a battersi in nome della sicurezza. Per fortuna gli utenti open source si sono stretti attorno a lui, facendo risalire la media annuale delle donazioni a 137.000 dollari. Ma non è tutto, anche la Linux Foundation e Facebook hanno scelto di collaborare donando rispettivamente 60.000 e 50.000 dollari all’anno.

Questa storia pone alla luce una delle problematiche principali che riguarda la sicurezza dei progetti open source. Questi purtroppo sono sottofinanziati e ciò porta allo scoraggiamento da parte degli sviluppatori che, di fronte a enormi volumi di codice, spesso si trovano a sottovalutare i problemi legati alla sicurezza.

Open source davvero più sicuri?

Di recente, il ricercatore di Google, Neel Mehta, ha scoperto Heartbleed, un bug piuttosto serio che ha interessato OpenSSL. Il “cuore sanguiante” del sistema ha scosso tutta la comunità open source, soprattutto dopo aver scoperto che la Linux Foundation aveva addestrato due soli ragazzi per mantenere aggiornato il codice.

Heartbleed non è il primo attacco all’open source, un anno prima era stata scoperta una vulnerabilità, anche se meno grave, che interessava Apache Struts.

Questi episodi, secondo Joshua Corman, CTO di Sonotype, sono la conferma che il concetto di maggior sicurezza dei sistemi open source non è vero, in quanto, sebbene questi progetti siano seguiti da “molti occhi”, ciò non comporta che tutti siano qualificati per trovare vulnerabilità nella sicurezza. La maggior parte degli utenti da per scontato che i sistemi open source siano sicuri, ma in effetti non è così.

Un’analisi condotta da Sonotype suggerisce che le vulnerabilità riscontrate nei sistemi open source sono state in media risolte solo nel 41% dei casi. Inoltre il tempo medio di lavorazione per ognuna è davvero molto alto, si parla di circa 390 giorni.

Come migliorare la sicurezza per il futuro?

Secondo Katie Moussouris, direttore di HackerOne ed ex stratega della sicurezza per Microsoft, è necessario alimentare una mentalità rivolta alla sicurezza, sia per i sistemi open source sia per quelli proprietari.

È per questo motivo che la compagni Moussouris fornisce una piattaforma web-based per il coordinamento della divulgazione di tutte le vulnerabilità scoperte. Secondo Moussouris le aziendehanno bisogno di adottare un approccio più serio e sistematico nei confronti della sicurezza.

Aziende del calibro di Linux, Red Hat e Google, hanno già compreso questa necessità ed hanno investito pesantemente nella sicurezza e integrità dei sistemi open-source. Aziende open-friendly, come FaceBook, hanno voluto anch’essi partecipare indirizzando risorse per migliorare la qualità dell’open source. Sulla stessa linea anche le aziende come Mozilla e Ubuntu, che hanno incrementato il rilascio di pacchetti a favore della sicurezza.

Non c’è alcun modo di tornare indietro per evitare situazioni come Heartbleed, ma le aziende open source sono consapevoli che è necessario un netto cambiamento nell’immediato futuro per difendere la sicurezza dei propri prodotti.

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.