Vengono via con poco

28 luglio, 2008

E’ notizia di oggi che Microsoft sponsorizza la Apache Foundation: aiutare il web server concorrente a rimanere al passo con i tempi cento mila dollari, avere il proprio il banner sul sito della concorrenza non ha prezzo.

Intendiamoci, la foundation non ha bilanci astronomici, l’anno scorso ha avuto 181.000 dollari di spese, praticamente niente, grazie al fatto che i suoi componenti e sviluppatori sono dipendenti di altre società oppure provengono dal mondo accademico.

Ora resta da capire il perchè della mossa Microsoft. Ovviamente la prima cosa che viene in mente è che sia parte della nuova strategia che tende ad abbracciare una parte del mondo open, in particolare quello non legato alla GPL.

In effetti, la licenza apache permette di fare qualunque cosa con il codice, anche includerlo in soluzioni proprietarie, ed è giusto così per un software di pubblico dominio, come le librerie condivise dalla notte dei tempi.

Il problema di questa storia dell’ingresso di Microsoft nel mondo open è che coincide con il passaggio del timone da Bill a Steve. Il primo è innamorato della tecnologia, è stato un programmatore, è quello che il prodotto (bene o male che sia) lo produceva, magari “rubava” le idee a destra o sinistra, ma alla fine produceva qualcosa.

Il secondo è un venditore, un venditore puro, e si sa che i venditori adorano l’open source : prodotti gratuiti da impacchettare e rivendere, praticamente il sogno del marketing.

Se MS entra nel mondo open sarà la più brava ad impacchettare e vendere, lo è sempre stata, e sarà un altro piccolo colpo alla difesa del valore del codice.

Solo Apple, con il suo app store e l’iphone mi da qualche soddisfazione in questi tempi bui.

Annunci

Sono rimasto un po’ spiazzato dall’articolo di Alessandro Bottoni su punto Informatico “La sicurezza dell’Open Source”, in particolare io stesso, noto provocatore del forum, mi sono rifiutato di commentarlo o confutarlo non per la sua faziosità ma per l’incredibile sequela di luoghi comuni di cui è farcito.

Cominciamo ad eliminarne qualcuno :

L’open source non è Linux.

Linux è un sistema operativo unix-like, tutti sanno che non servono antivirus, che storicamente è considerato più sicuro e stabile di windows come tutti gli altri sistemi unix e che è oggi una importante realtà industriale.

Il Closed Source non è Windows

Esempi di codice closed source sono il database Oracle, Photoshop, Skype, la GUI di Mac OSX, Gmail ed il motore di ricerca di Google.

Dire che il closed source è windows è sbagliato ed estremamente superficiale. Microsoft è un’azienda che fa delle scelte che niente hanno a che vedere con il metodo di sviluppo o rilascio del software.

Un esempio che Bottoni cita è adattissimo : Microsoft ha scelto di mostrare l’anteprima delle email html, inizialmente con audio e gif animate, esponendosi ad un rischio enorme poi puntualmente divenuto realtà con Nimba o simili.

Io sinceramente credo che dietro tali scelte non ci siano le richieste di “oscuri partner”, ma semplicemente la volontà di assecondare sempre e comunque il loro target preferito : gli utenti home che vogliono scambiarsi email con i cuoricini che cantano. Ma che c’entrano le scelte di una azienda con il closed o con l’open source ?

La ricerca di Fortify

Premesso che a quanto ho capito Fortify ha tutto l’interesse a suggerire la coding inspection, la sua ricerca prende in esame alcuni prodotti e comunità open source più “deboli” rispetto a prodotti famosi come Linux o MySql, ma che sono framework alla base dello sviluppo di progetti più grandi anche in ambito bancario.

Muove verso questi due precise critiche : non utilizzano metodi di sviluppo sicuri e non correggono le vulnerabilità abbastanza celermente. Se dicono di aver segnalato vulnerabilità e non aver avuto risposta probabilmente possono provarlo.

Sviluppo sicuro

Lo sviluppo del software è una attività complessa dove si fondono fantasia, ingegneria e design. Un sapiente mix di questi componenti produce un software equilibrato, sicuro, gradevole ed innovativo.

Fortify sostiene che in molte comunità open source non si adottano procedure di sviluppo sicure, cioè privilegia poco la parte ingegneristica ( io aggiungo probabilmente favorendo fantasia e design).

Gli strumenti per aumentare la sicurezza esistono. Esistono metriche, rigide procedure di sviluppo, strumenti di analisi del codice, strumenti di test, ambienti di test, persone che fanno test, esperti che vengono in azienda a tengono corsi diffondendo metodi di sviluppo sicuri.

Se applicati correttamente producono del codice quasi completamente privo di errori, come quello avionico o aeronautico. Questi strumenti e l’organizzazione necessaria richiedono forti investimenti ed una rigida struttura gerarchica, che mal si addice alla libertà e all’entusiasmo che si respira in molti progetti open.

Conclusione

Paragonare windows e linux per paragonare open e closed non ha senso, i vantaggi e gli svantaggi di linux su windows sono gli stessi che avrebbe un qualunque altro unix closed source. Sono sistemi diversi che privilegiano caratteristiche diverse.

Non c’è una differenza intrinseca nella sicurezza tra software open e software closed, la differenza è nel modo in cui quel codice viene scritto, verificato e testato. Paragonare due software per avere un vincitore è semplicemente ridicolo perché ci sono mille fattori più importanti del metodo di distribuzione (qualità e numero dei programmatori, linguaggio utilizzato, priorità del progetto ecc..).

Ma non credo che si possa sottovalutare l’alert lanciato da Fortify : l’adozione di software sviluppato senza metodi ingegneristici certificati per progetti complessi ed importanti è un rischio, quindi ben vengano degli studi su quanto queste librerie e framework siano sicuri e seguiti, che mettano in luce uno dei tanti costi del gratis : l’assenza di garanzie, di contatti, di interfaccia ed assistenza.

Alcune volte queste mancanze vengono sopperite (a pagamento) da società apposite come RedHat, altre volte forse bisognerebbe stare più attenti nell’usare l’open source in progetti importanti.

Una nota a parte va dedicata alla presunta inutilità del numero da chiamare. In progetti grandi, anche in Italia, se c’è un problema IBM, Microsoft, Oracle e gli altri si muovono subito e realizzano la patch necessaria al volo, non è assolutamente vero che il numero dell’assistenza non serve a niente.

Ti denuncio

3 luglio, 2008

“Ti denuncio per discriminazione e offese pesanti verso un gruppo di persone che non la pensano come e te.”

“Se entro questa sera il testo di questo articolo non scompare io faccio una segnalazione sul sito della polizia postale.”

Questi sono i commenti che ricevo dopo il post Sodoma, che non contiene nessuna parolaccia o offesa o paragone, ma solo una simpatica parabola per spiegare perchè uso wordpress.

A quanto pare, per qualcuno, gli ideali di apertura e condivisione del software open non sono in contrasto con la repressione, con la censura e con le minacce.

Andiamo bene.

I problemi di windows

30 giugno, 2008

Spesso si accusa windows di essere un colabrodo instabile.

Come spesso ho detto, queste critiche sono reali ma sono anche frutto di due caratteristiche : una estrema adattabilità ad hardware di qualunque tipo e il mantenimento della compatibilità per programmi e driver vecchi e scritti male.

Ovvio ad esempio che per Apple sia più facile rilasciare una nuova versione di Mac osx, loro conoscono perfettamente l’hardware dove il sistema operativo sarà eseguito. Stesa cosa vale per tutti quei sistemi operativi abbinati ad hardware proprietario, dai cellulari ai server di fascia alta.

Ben diverso è windows, a cui si chiede di essere innovativo, sicuro, facile e di girare su quasi qualsiasi hardware.

Questo ha portato  a Vista, troppo grosso, troppo lento, infarcito di tecnologie vecchie e bacate, miste a quelle nuove lente e a volte inutili, sempre afflitto da virus ma contemporaneamente con problemi di compatibilità verso il basso. Non è un cattivo sistema operativo, perché forse di meglio non si poteva fare.

L’unica soluzione sarebbe riscrivere tutto da zero, come suggerisce questo bell’articolo del NewYork Times, con cui sono d’accordo e che ci tenevo a segnalare.

Sodoma

30 giugno, 2008

In un tempo lontano, vicino alla città di Sodoma, viveva un pastore retto e giusto.

Egli possedeva molte greggi e grande era la sua famiglia e pieni i suoi granai.

Un giorno, il suo carro si spezzò, allora il pastore disse al figlio :

“Tu, che sei il mio figlio maggiore, mi accompagnerai a Sodoma affiche tu veda i Sodomiti e tu mi protegga da loro.”

Giunti a Sodoma, il figlio vide la perversione dei Sodomiti e grande fu il suo sdegno.

Allora disse al padre : “Padre mio, tu hai cresciuto me e i miei fratelli nell’onestà e nella rettitudine e adesso io vedo questi uomini e grande è la loro depravazione, se userai uno dei loro carri ti renderai complice dei loro peccati e la nostra famiglia ne sarà corrotta. Lascia a loro i loro carri e costruiamocene uno da soli.”

Allora il vecchio pastore rispose : “Un carro è solo un carro, anche il precedente fu costruito da Sodomiti, ma con esso ho allevato te ed i tuoi fratelli nell’onestà e nella rettitudine.”

Il figlio allora disse : “Ho capito ! E’ un po’ come usare wordpress per parlare male dell’open source, non importa chi lo ha scritto, l’importante è che funziona bene.”

E il padre : “Esatto, non è che un programma porta sopra un marchio di infamia a secondo del produttore. Prendi linux, non è che linux è l’open source. Linux è un buon unix like, si può apprezzare ed usare linux e contemporaneamente criticare l’open”

“Ma certo, in fin dei conti linux è una cosa, l’importante sarebbe liberare i programmatori, sarebbe bello se potessero proteggere la loro creatività, se potessero essere pagati per il loro lavoro e non a ore come prostitute per l’assistenza.”

“E’ già, speriamo che i posteri imparino a non farsi sfruttare, speriamo figlio mio”

Tutti portano come esempio di azienda che fa soldi producendo e  manutenendo software open source la società dal cappello rosso.

Ma la più grande azienda Open del mondo, una delle pochissime quotate in borsa, che vende in tutto il mondo e che distribuisce il suo software con codice aperto, dopo anni e anni di attività, a che punto è ?

Secondo Google l’azienda guadagna meno di :

Sybase : che vende un DataBase closed

McAfee : che vende un antivirus closed

Autodesk : che vende un cad closed

Adobe : che naturalmente è closed

Per capirsi, fattura un quinto di Activision, quella dei giochini, 10 volte meno di Symantec..

Ma fattura e guadagna addirittura meno della “famosissima” MICROS, una azienda che fa software per la prenotazione alberghiera.

Come a dire che è più facile fare soldi vendendo programmini in Access per stabilimenti balneari che con il software open source.

E questo nonostante il tempo, i soldi, la fama e la qualità del cappello rosso.

Ma le risate

25 giugno, 2008

ORE 00:22 Su Punto informatico I leggo la notizia che il web 2.0 è arrivato in Puglia. Scorro l’articolo, e il mio cervello registra nell’ordine : unificare, accesso, servizio migliore, razionalizzare spesa, open source.

Ora, va bene auto incensarsi, ma questo è troppo ! Così ci vado giù duro : “Open source = fallimento”, è una bella equazione, da diffondere.

ORE 10:10 Torno sulla notizia per vedere i commenti, ma le risposte sono fiacche, mi danno del patetico e mi accusano di essere la vergogna dell’Italia.

C’è però un commento nuovo, di uno che prima si firma prima cooperativa paz e poi 4K1R4, che dice che è un CSM nuovo, scritto da zero, open e gratuito e che io non devo sparare cacchiate.

Allora mi insospettisco, faccio un giro sul sito e niente, non c’è nessun riferimento a licenza o download o altro.

ORE 10:15 Chiedo gentilmente, se è open source, da dove si scaricano i sorgenti ?

A quel punto si scatena il delirio, ci sono inviti a succhiare, c’è chi scopre che il template è molto molto simile ad uno di joomla, altri dicono che non passa le validazioni, il tutto condito con un turbine di kkkk, e attacchi al limite, e richieste di spiegazioni.

Divertentissimo, ma a quel punto ecco l’affondo finale, l’appello al programmatore:

– La licenza non c’è sul sito, forse sei ancora in tempo !!

– A questo punto perché lo devi rilasciare open source ?

– Perché lo possano copiare gratis nelle altre regioni ?

– Oppure perché altri vengano in questo forum a sputare sul tuo codice ?

– Perché il primo programmatore php possa farci assistenza al posto tuo ??

– Non lo pubblicare affatto, tienitelo stretto come tutti gli altri professionisti, evita di fare la fame gratis.

– Lascia perdere l’open, inventati qualcosa e chiudi tutto !

– Così almeno per qualche anno l’assistenza sarà tua e magari ci esce anche qualche altro cliente.

– Dai retta, si va verso tempi difficili e chi sa fare deve farsi pagare, chiudi tutto !

Speriamo che seguano i miei consigli, nel fra tempo è stato bellissimo esempio di open source out of the box.