Aperto non troppo

Non citiamo le decine e decine di patch emesse per bug tutto sommato endemici. Siamo pieni di statistiche che mostrano come sia il software open sia quello commerciale abbiano, tutto sommato, lo stesso grado di imperfezione.

Parliamo di alcuni fatti assolutamente gravi. Inutile dirlo: il primo è stato Heartbleed (CVE-2014-0160). Non una tegola, ma un edificio intero che è caduto su Internet. Il momento in cui abbiamo scoperto che:

1. Una marea di siti utilizza stack LAMP per fare commercio elettronico anche di livello molto elevato, così come banche e altre entità del mondo finanziario.
2. Una quantità elevatissima di dispositivi embedded utilizza OpenSSL. Effettuarne il patching è difficile (quando è possibile; molti magari non sono semplicemente più supportati) e difatti a montagne sono ancora collegati ad Internet con la loro vulnerabilità in bella vista.
3. I media più informati hanno preso la palla al balzo per dire una quantità industriale di stupidaggini o per esagerare la cosa in ogni modo. Figuriamoci quelli di bassa lega.
4. Il team di sviluppo di OpenSSL non è assolutamente adeguato al compito di progettare e manutenere un prodotto di questa importanza (questo segnatevelo, ci torneremo dopo).

Appena finito di tirare il fiato dopo un giro di patching molto più diffuso di quello che molti avevano stimato, arriva ShellShock. Una vulnerabilità identificata dal ricercatore Stéphan Chazelas e identificata con il codice CVE-2014-6271. Successivi audit hanno evidenziato anche ulteriori problemi che hanno generato gli avvisi CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, e CVE-2014-7187.

Anche in questo caso i media hanno urlato a squarciagola e noi sysadmin ci siamo sorbiti una serie di notti insonni anche più lunga di quello di Heartbleed. Per fortuna nostra molti dispositivi embedded utilizzano BusyBox al posto della comune bash e quindi siamo stati fortunati per non aver dovuto mettere le mani su chissà quali infami device.

Quindi? L’open source ha perso il suo appeal? Codice aperto non vuole più dire che i buchi di sicurezza vengono subito eliminati? I bei tempi in cui una backdoor contenuta nel database Firebird fu scovata pochi giorni dopo che fu reso open source da Borland sono passati?

La crisi perdura da anni. Ricordate il punto 4? Il team di OpenSSL è inadeguato non perché siano coder privi di talento, ma perché combattono costantemente in numero esiguo e con budget ridottissimi.

Steve Marquess, prez. OpenSSL Software Foundation: 2013 budget for OpenSSL team managing code; less than $1 million http://t.co/T0yIl2sVDz

— JohnFontana (@JohnFontana) April 9, 2014

Quanti siti stanno guadagnando milioni con sistemi open, compreso OpenSSL? Quante società guadagnano milioni pacchettizzando distribuzioni e software e vendendo supporto per sistemi GNU/Linux? Quante imprese e privati utilizzano software open risparmiando una valanga di denaro?

Open non vuol dire gratis (Free is not free as a free beer) e non vuol dire che il codice è aperto e qualcun altro troverà sicuramente i bug mentre noi siamo troppo impegnati a fare altro.

Chiediamoci quante volte abbiamo fatto una donazione (anche di pochi euro) ad un progetto open che usiamo costantemente, che sia una distro Linux, un software come XBMC/Kodi o altro.

Chi ha già messo a disposizione del mondo il proprio software ha già compiuto la sua azione caritevole. Non per questo deve fare il filantropo a vita dando tempo ed energie per la gloria e sentendosi pure additare quando le cose vanno male. Loro hanno fatto, e spesso stanno facendo, la loro parte. E noi? Parassitiamo o diamo il nostro contributo, piccolo o grande che sia?

In caso negativo, non lamentiamoci.