L’open source, la sicurezza e le guerre di religione

23 luglio, 2008

Sono rimasto un po’ spiazzato dall’articolo di Alessandro Bottoni su punto Informatico “La sicurezza dell’Open Source”, in particolare io stesso, noto provocatore del forum, mi sono rifiutato di commentarlo o confutarlo non per la sua faziosità ma per l’incredibile sequela di luoghi comuni di cui è farcito.

Cominciamo ad eliminarne qualcuno :

L’open source non è Linux.

Linux è un sistema operativo unix-like, tutti sanno che non servono antivirus, che storicamente è considerato più sicuro e stabile di windows come tutti gli altri sistemi unix e che è oggi una importante realtà industriale.

Il Closed Source non è Windows

Esempi di codice closed source sono il database Oracle, Photoshop, Skype, la GUI di Mac OSX, Gmail ed il motore di ricerca di Google.

Dire che il closed source è windows è sbagliato ed estremamente superficiale. Microsoft è un’azienda che fa delle scelte che niente hanno a che vedere con il metodo di sviluppo o rilascio del software.

Un esempio che Bottoni cita è adattissimo : Microsoft ha scelto di mostrare l’anteprima delle email html, inizialmente con audio e gif animate, esponendosi ad un rischio enorme poi puntualmente divenuto realtà con Nimba o simili.

Io sinceramente credo che dietro tali scelte non ci siano le richieste di “oscuri partner”, ma semplicemente la volontà di assecondare sempre e comunque il loro target preferito : gli utenti home che vogliono scambiarsi email con i cuoricini che cantano. Ma che c’entrano le scelte di una azienda con il closed o con l’open source ?

La ricerca di Fortify

Premesso che a quanto ho capito Fortify ha tutto l’interesse a suggerire la coding inspection, la sua ricerca prende in esame alcuni prodotti e comunità open source più “deboli” rispetto a prodotti famosi come Linux o MySql, ma che sono framework alla base dello sviluppo di progetti più grandi anche in ambito bancario.

Muove verso questi due precise critiche : non utilizzano metodi di sviluppo sicuri e non correggono le vulnerabilità abbastanza celermente. Se dicono di aver segnalato vulnerabilità e non aver avuto risposta probabilmente possono provarlo.

Sviluppo sicuro

Lo sviluppo del software è una attività complessa dove si fondono fantasia, ingegneria e design. Un sapiente mix di questi componenti produce un software equilibrato, sicuro, gradevole ed innovativo.

Fortify sostiene che in molte comunità open source non si adottano procedure di sviluppo sicure, cioè privilegia poco la parte ingegneristica ( io aggiungo probabilmente favorendo fantasia e design).

Gli strumenti per aumentare la sicurezza esistono. Esistono metriche, rigide procedure di sviluppo, strumenti di analisi del codice, strumenti di test, ambienti di test, persone che fanno test, esperti che vengono in azienda a tengono corsi diffondendo metodi di sviluppo sicuri.

Se applicati correttamente producono del codice quasi completamente privo di errori, come quello avionico o aeronautico. Questi strumenti e l’organizzazione necessaria richiedono forti investimenti ed una rigida struttura gerarchica, che mal si addice alla libertà e all’entusiasmo che si respira in molti progetti open.

Conclusione

Paragonare windows e linux per paragonare open e closed non ha senso, i vantaggi e gli svantaggi di linux su windows sono gli stessi che avrebbe un qualunque altro unix closed source. Sono sistemi diversi che privilegiano caratteristiche diverse.

Non c’è una differenza intrinseca nella sicurezza tra software open e software closed, la differenza è nel modo in cui quel codice viene scritto, verificato e testato. Paragonare due software per avere un vincitore è semplicemente ridicolo perché ci sono mille fattori più importanti del metodo di distribuzione (qualità e numero dei programmatori, linguaggio utilizzato, priorità del progetto ecc..).

Ma non credo che si possa sottovalutare l’alert lanciato da Fortify : l’adozione di software sviluppato senza metodi ingegneristici certificati per progetti complessi ed importanti è un rischio, quindi ben vengano degli studi su quanto queste librerie e framework siano sicuri e seguiti, che mettano in luce uno dei tanti costi del gratis : l’assenza di garanzie, di contatti, di interfaccia ed assistenza.

Alcune volte queste mancanze vengono sopperite (a pagamento) da società apposite come RedHat, altre volte forse bisognerebbe stare più attenti nell’usare l’open source in progetti importanti.

Una nota a parte va dedicata alla presunta inutilità del numero da chiamare. In progetti grandi, anche in Italia, se c’è un problema IBM, Microsoft, Oracle e gli altri si muovono subito e realizzano la patch necessaria al volo, non è assolutamente vero che il numero dell’assistenza non serve a niente.

Annunci

2 Responses to “L’open source, la sicurezza e le guerre di religione”

  1. pacatoegentile Says:

    Non riesco a capire cosa cerchi di dire: sembra quasi che tu abbia preso i modelli di licenza alla stregue di religioni in cui bisogna seguirne uno o un altro.


Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: