![\"Software](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1363462781-300x157.jpg\" "\\"Immagine")
<\/p>\n<\/p>\n
Al giorno d'oggi i software liberi sono essenziali non solo nel settore delle tecnologie informatiche, ma la loro importanza si estende a tutte le aree in cui l'uso del software svolge un ruolo cruciale. La questione legata alla loro manutenzione \u00e8 diventata gradualmente un argomento critico, al punto che il Congresso degli Stati Uniti ha introdotto un disegno di legge nel 2023: il \"Securing Open Source Software Act<\/em>\". Ripercorriamo insieme le tappe evolutive dell'Open Source \u2013 da una trascrizione al Congresso degli Stati Uniti.<\/strong><\/p>\n Il \"Securing Open Source Software Act<\/em><\/a>\" mette l\u2019argomento bene in chiaro fin dai primi paragrafi: \"I software open source favoriscono lo sviluppo tecnologico e sono parte integrante della sicurezza informatica globale\"; \"Un ecosistema open source sicuro, sano, dinamico e resiliente \u00e8 essenziale per garantire la sicurezza nazionale e la competitivit\u00e0 economica degli Stati Uniti\"; \"I software open source costituiscono le fondamenta dell'infrastruttura digitale che sostiene un'Internet libera e aperta\".<\/em> \"Senza i software open source, Internet come la conosciamo oggi non esisterebbe, anzi non sarebbe mai esistita\u2026\"<\/em>, riassume Yvan Vanhullebus<\/strong>, Technical Leader di Stormshield. Ma confondere i termini Software Libero e Open Source pu\u00f2 risultare fastidioso per molti...<\/p>\n Senza i software open source, Internet come la conosciamo oggi non esisterebbe, anzi non sarebbe mai esistita\u2026<\/em><\/p>\n <\/p>\n Inizialmente veniva utilizzato il termine free software <\/em>e designava un concetto nato negli Stati Uniti negli anni '80 sotto la spinta di Richard Stallman. Sebbene volesse semplicemente stampare un documento, questo fervente difensore della cultura hacker<\/em> passer\u00e0 alla storia come l'uomo che si \u00e8 opposto alla privatizzazione dei software e alla nascita di una legislazione sempre pi\u00f9 restrittiva per gli utenti. Il Computer Software Copyright Act<\/em>, ad esempio, \u00e8 stato emanato nel 1980.<\/p>\n \u00c8 in questo scenario che Richard Stallman diede vita nel 1985 alla Free Software Foundation<\/em>, un'organizzazione senza scopo di lucro che stabil\u00ec i quattro fondamenti del software libero: il diritto di eseguire un programma per qualsiasi scopo; la libert\u00e0 di studiarne il funzionamento e di adattarlo alle proprie esigenze; la libert\u00e0 di ridistribuirne le copie; la libert\u00e0 di migliorarlo e di pubblicarlo a beneficio dell'intera comunit\u00e0. Di fronte alle possibili interpretazioni del termine \"free\", lo stesso Richard Stallman risponde nella sua biografia autorizzata: \"Don\u2019t think free as in free beer; think free as in free speech<\/em>\". \u00c8 una questione di libert\u00e0, non di gratuit\u00e0. Tuttavia, questo approccio etico al concetto era tutt'altro che unanime all'interno della comunit\u00e0: per porre fine all'ambiguit\u00e0 linguistica, nel 1998 la scienziata americana Christine Peterson, allora direttore esecutivo del Foresight Institute, coni\u00f2 il termine Open Source. Un'evoluzione lessicale necessaria, che l'autrice descrive in dettaglio in una lunga e appassionante relazione<\/a>. Insieme a personalit\u00e0 del calibro di Eric Raymond e Bruce Perens, nello stesso anno ha partecipato alla creazione dell'Open Source Initiative (OSI). La terminologia originale di software libero<\/em> venne dunque abbandonata a favore di software<\/em> Open Source.<\/em><\/p>\n Don\u2019t think free as in free beer; think free as in free speech.<\/em><\/p>\n Quali sono le differenze tra \"software libero<\/em>\" e \"software open source<\/em>\"? Per quanto riguarda la definizione, software libero si riferisce alla possibilit\u00e0 di utilizzarlo, studiarlo, modificarlo o duplicarlo, mentre il termine software Open Source si riferisce a una strategia di sviluppo basata sul riutilizzo di tutto o parte del codice sorgente. <\/strong>I progetti Open Source sono generalmente supervisionati da uno o pi\u00f9 gestori, ma si avvalgono di contributi esterni come l'aggiunta di nuove funzionalit\u00e0, la segnalazione di bug (e la loro correzione) o il miglioramento della sicurezza. In altre parole, l'Open Source \u00e8 un movimento di sviluppo collaborativo del software.<\/p>\n <\/p>\n Per garantire che il software rimanesse aperto e libero, era importante definire un quadro giuridico. A tal fine, sono state introdotte diverse licenze d'uso.\u00a0 La pi\u00f9 nota \u00e8 la GNU GPL (General Public License<\/em>), la cui prima versione \u00e8 stata creata nel 1989 sulla base dei quattro principi ideati da Richard Stallman allo scopo di stabilire le giuste condizioni legali per la distribuzione di software liberi nell'ambito del progetto GNU. Seguiranno altre licenze, come Apache 2.0, MIT, BSD e Creative Common, con i propri livelli di autorizzazione e riutilizzo del codice.<\/p>\n Lo sviluppo di queste licenze ha portato alla nascita di numerosi progetti, come il lancio del kernel Linux nel 1991 e la licenza Open Source di Netscape Navigator nel 1998 (che \u00e8 servita come base per la creazione della suite Mozilla). Nel 2001, Wikipedia diventer\u00e0 uno dei progetti emblematici del movimento Open Source, con l'obiettivo di sfruttare l'intelligenza collettiva per creare la pi\u00f9 grande raccolta di conoscenze su Internet. Successivamente, il lancio di Android da parte di Google nel 2008 e la creazione di GitHub<\/a> nello stesso anno testimoniano la crescente integrazione dell'Open Source nelle tecnologie di consumo e nelle infrastrutture di sviluppo software. <\/strong>L'apice di questo processo di adozione, almeno in apparenza, arriver\u00e0 nel 2014 con un discorso di Satya Nadella, CEO di Microsoft, in cui dichiarer\u00e0 che \"Microsoft ama Linux\". Nella comunit\u00e0 Open Source, tuttavia, molti ricordano le parole del suo predecessore Steve Ballmer<\/a> quando lo defin\u00ec un \"cancro che investe, in termini di propriet\u00e0 intellettuale, tutto ci\u00f2 che tocca\".<\/em><\/p>\n Da un punto di vista commerciale, l'Open Source \u00e8 un modello di business particolare. Infatti, se un progetto \u00e8 Open Source, possono sorgere varianti che sfuggono al controllo aziendale; il modello di business ruota essenzialmente intorno ai servizi o alla manutenzione (tutto fuorch\u00e9 le licenze). \u00c8 quindi nell'interesse finanziario di ogni azienda adottare sistemi o applicazioni Open Source, a patto di essere pienamente consapevoli dei vincoli imposti dalle singole licenze, come sottolinea David Gueluy<\/strong>, Responsabile R&S e Technical Advisor di Stormshield: \"La licenza GPL \u00e8 nota per esigere la ridistribuzione delle modifiche apportate al codice sorgente. Quest'obbligo ha determinato situazioni legali complesse per alcuni produttori, che si sono trovati a dover pubblicare l'intero codice sorgente, persino quando si trattava dell\u2019integrazione di una minuscola porzione di codice GPL in un programma di pi\u00f9 ampia portata...\".<\/em> Per contro, licenze come BSD, MIT o Apache offrono una maggiore flessibilit\u00e0, consentendo alle aziende di modificare e utilizzare il codice senza dover condividere le modifiche. L'interesse delle aziende per l'utilizzo e lo sviluppo di progetti Open Source \u00e8 confermato dalle statistiche di Microsoft<\/a>, che mostrano come il 60% delle immagini ospitate sul cloud Azure sia basato sul kernel Linux o su software liberi. \"Mi fa sorridere osservare come l'Open Source stia guadagnando sempre pi\u00f9 importanza e sia sempre pi\u00f9 diffuso in diversi ambiti -<\/em> afferma divertito Yvan Vanhullebus - Si tratta davvero di una tendenza del momento o \u00e8 piuttosto un fenomeno che abbiamo notato solo ora?\"<\/em>\u00a0Il punto \u00e8 che l'adozione dell'Open Source \u00e8 una realt\u00e0 sempre pi\u00f9 diffusa in tutti i settori, compreso quello della progettazione e dello sviluppo di prodotti per la sicurezza informatica.<\/strong><\/p>\n Mi fa sorridere osservare come l'Open Source stia guadagnando sempre pi\u00f9 importanza e sia sempre pi\u00f9 diffuso in diversi ambiti. <\/em>Si tratta davvero di una tendenza del momento o \u00e8 piuttosto un fenomeno che abbiamo notato solo ora?<\/em><\/p>\n <\/p>\n Come per qualsiasi fenomeno, anche l'Open Source attrae estimatori e detrattori. Tra questi ultimi, numerosi sono gli aspetti che generano lunghi e accesi dibattiti. Il primo, che risale ormai a circa trent'anni fa, riguardava la reale possibilit\u00e0 che l'approccio Open Source potesse funzionare. \"Fin dai primi progetti siamo stati in grado di rispondere in maniera affermativa e di risolvere il dibattito in tempi piuttosto brevi\",<\/em> afferma Yvan Vanhullebus. \u201cPoco dopo ne \u00e8 sorto un secondo, che vedeva gli strumenti Open Source utilizzati solo da nerd occhialuti...\"<\/em> Tale credenza persiste ancora, a seconda dell'ambiente e del settore, ma si \u00e8 notevolmente attenuata con il riavvicinamento tra Open Source e UX. Infine, il terzo dibattito riguarda pi\u00f9 specificamente il mondo della cybersecurity: un prodotto di sicurezza informatica basato su sistemi Open Source pu\u00f2 essere ritenuto affidabile?<\/strong> Il timore \u00e8 che un criminale informatico scopra una vulnerabilit\u00e0 e la mantenga celata con l'intenzione di sfruttarla come vulnerabilit\u00e0 come Heartbleed nel progetto OpenSSL scoperta nel 2012, o Log4J scoperta nel 2021. Un argomento sollevato dai detrattori riguarda la possibilit\u00e0 che i malintenzionati possano contribuire a progetti Open Source, introducendo vulnerabilit\u00e0 che possono essere erroneamente assimilate a semplici bug. In un rapporto del 2020<\/a>, GitHub ha affermato che il 17% dei bug software presenti sulla piattaforma sono stati inseriti intenzionalmente nel codice da soggetti malevoli. La recente scoperta della compromissione della libreria XZ, elemento base utilizzato in ambiente Linux, ne \u00e8 un esempio significativo. Alla fine di marzo 2024, un dipendente Microsoft ha lanciato un security allert alla comunit\u00e0 Open Source dopo aver riscontrato un'anomalia del codice all\u2019interno dei pacchetti XZ. Indicato nella CVE-2024-3094<\/a>, i cyber criminali attraverso combinate tecniche di ingegneria sociale e preparazione a lungo termine (da diversi mesi a diversi anni), erano riusciti ad inserire gradualmente e discretamente del codice malevolo \u201coffuscato\u201d, in grado di eludere il rilevamento da parte delle attivit\u00e0 di revisioni del codice, e che permetteva di sfruttare una backdoor per eseguire comandi arbitrari che di fatto, permettevano di assumere il controllo dell\u2019intero sistema bersaglio. Un potenziale attacco su larga scala alla \u201csupply chain<\/em>\u201d, sventato appena in tempo...<\/p>\n Ma l'Open Source gode anche (e soprattutto) di estimatori, convinti che questo modello migliori la sicurezza informatica grazie alla trasparenza e alla collaborazione della comunit\u00e0.<\/strong> Il motivo \u00e8 che l'accesso al codice sorgente rende pi\u00f9 facile individuare le vulnerabilit\u00e0 e correggerle il pi\u00f9 rapidamente possibile, rispetto a un approccio \"a scatola nera\" in cui la visibilit\u00e0 \u00e8 limitata. David Gueluy concorda: \"Uno degli aspetti pi\u00f9 significativi legati alla sicurezza dei progetti Open Source \u00e8 la possibilit\u00e0 di verificare da soli eventuali errori nel codice, l'assenza di backdoor o, per lo meno, la possibilit\u00e0 di correggere da soli eventuali anomalie\".<\/em><\/p>\n Uno degli aspetti pi\u00f9 significativi legati alla sicurezza dei progetti Open Source \u00e8 la possibilit\u00e0 di verificare da soli eventuali errori nel codice, l'assenza di backdoor o, per lo meno, la possibilit\u00e0 di correggere da soli eventuali anomalie.<\/em><\/p>\n <\/p>\n E questo \u00e8 proprio il caso di Heartbleed, Log4J e della compromissione della libreria XZ: la reattivit\u00e0 e la collaborazione della comunit\u00e0 Open Source sono state determinanti per risolverli. E\u2019 importante notare che nonostante il rumore fatto intorno alla compromissione della libreria XZ, \u00e8 fondamentale specificare che non si tratta di un fenomeno nuovo n\u00e9 specifico del mondo dell'Open Source. Alla fine del 2020 il malware Sunburst \u00e8 stato introdotto nella catena di sviluppo del software Orion dell\u2019azienda SolarWinds. In totale, pi\u00f9 di 18.000 aziende e istituzioni in tutto il mondo sono state colpite da questo attacco. Un episodio che dimostra chiaramente come anche le soluzioni non Open Source rimangano sensibili alle vulnerabilit\u00e0.<\/strong><\/p>\n Questo approccio all\u2019Open Source \u00e8 sostenuto anche da enti pubblici come l'ANSSI in Francia. L'agenzia francese \u00e8 coinvolta in numerosi progetti Open Source, sia attraverso i contributi dei suoi agenti che con la pubblicazione di diversi strumenti. Questo investimento \"risponde a una vera sfida di sicurezza e sovranit\u00e0, per proteggere i beni comuni e investire in tecnologie e soluzioni per il futuro\".<\/em><\/strong> Inoltre, svolge un ruolo attivo nello sviluppo di software liberi, collaborando a progetti come Linux, Debian e Suricata, data l'ampia presenza e il sostegno a progetti Open Source in questo settore. David Gueluy cita ad esempio Vault, \"una delle soluzioni offerte da HashiCorp, un'azienda fondata proprio sui principi dell'Open Source, che consente di archiviare segreti in modo sicuro\"<\/em>, KeePass (gestore di password), TheHive (piattaforma di risposta agli incidenti), Metasploit Framework (strumento di test delle intrusioni) e MISP (piattaforma di condivisione delle informazioni sulle minacce informatiche); tutti strumenti che dimostrano come l'Open Source abbia un impatto significativo sullo sviluppo di solide soluzioni di sicurezza informatica.<\/strong> OpenSSL, ad esempio, classificato tra i primi 10 dall'Open Source Security Index<\/a>, \u00e8 uno dei principali progetti dedicati alla sicurezza delle comunicazioni, impiegato sia in prodotti commerciali che in soluzioni Open Source. \"Il vantaggio di OpenSSL per le aziende consiste nell'avere accesso a una libreria crittografica gi\u00e0 collaudata e ampiamente validata dalla comunit\u00e0, senza dover partire da zero\"<\/em>, spiega David Gueluy. \u00c8 proprio questo il nocciolo della questione: la creazione di un nuovo prodotto non basato su alcuna tecnologia Open Source sarebbe illusoria, se non come prodotto di nicchia, in quanto richiederebbe ingenti investimenti per (ri)sviluppare soluzioni gi\u00e0 disponibili e che hanno richiesto anni per essere implementate. Solo dopo aver preso atto di questo stato di cose sar\u00e0 possibile instaurare un circolo virtuoso, verificando le versioni dei componenti Open Source alla ricerca di potenziali vulnerabilit\u00e0, pubblicando rapidamente le patch una volta scoperte e contribuendo ai vari progetti (patch, funzionalit\u00e0, finanziamenti...).<\/p>\n <\/p>\nYvan Vanhullebus<\/strong>, Technical Leader di Stormshield<\/pre>\n<\/blockquote>\n
Le origini dell'Open Source<\/h2>\n
Richard Stallman<\/strong>, programmatore e attivista del software libero<\/pre>\n<\/blockquote>\n
Open Source: un passo verso la collaborazione comunitaria<\/h2>\n
Yvan Vanhullebus<\/strong>, Technical Leader di Stormshield<\/pre>\n<\/blockquote>\n
L'importanza di un'apertura protetta degli ecosistemi<\/h2>\n
David Gueluy<\/strong>, Responsabile R&S e Technical Advisor di Stormshield<\/pre>\n<\/blockquote>\n