open-source-verso-un-punto-di-crisi-|-sicurezza.net

Open source verso un punto di crisi | sicurezza.net

Open source verso un punto di crisi o come ama dire Amada Brok (CEO di OpenUK) è un momento caldo. Ma l’ecosistema è, ed è sempre stato, in una posizione delicata.

Nel 2023 e oltre, l’open source si trova ad affrontare una serie di sfide esistenziali che potrebbero minare la sua vitalità. Queste vanno dai tre regimi normativi in fase di elaborazione a Londra, Bruxelles e Washington, a un crescente divario di finanziamenti che potrebbe portare alla morte per inedia finanziaria.

Brock ha dichiarato

In questo momento si dice che l’open source è ‘caldo in questo momento’ e ‘ha vinto’, ma io penso che siamo in una fase di equilibrio

Seduto di fronte al vicepresidente dell’infrastruttura di Google, Eric Brewer, spiega che le cose possono andare in due modi: O gli sforzi che entrambi stanno compiendo nel campo dell’istruzione, con l’accelerazione dei consumi, in particolare per quanto riguarda la cura degli utenti, saranno un successo, oppure le cose possono andare “molto male” nella direzione opposta. Questo vale soprattutto per le grandi imprese e il settore pubblico. “Potrebbero voltarsi e dire che l’open source è una schifezza, non ha funzionato, smetterò di usarlo”.

Brewer ha una visione ottimistica, così come Brock, e l’abbandono di massa dell’open source rimane una possibilità “nucleare”, come dice Rebecca Rumbul, CEO della Rust Foundation.

Il crescente disagio per l’intervento del governo, il ruolo delle aziende, la limitazione dell’uso del software e la mancanza di finanziamenti sostenibili, tuttavia, significano che siamo innegabilmente a un punto di svolta per l’open source.

Si confonde il significato di open source

Tra le principali ansie che si sono manifestate durante State of Open Conference 2023, ospitato dall’organizzazione di Brock, c’era la definizione stessa di open source e il modo in cui applicarla. Ad esempio, un progetto è ancora open source se non è aperto a tutti?

Una sessione particolarmente tesa, incentrata sull’etica nell’open source, ha visto due esperti ai ferri corti. PJ Hagerty, sostenitore degli sviluppatori e ingegnere senior di Spotify, si è scontrato con il responsabile delle politiche e dell’innovazione di Open-Xchange, Vittorio Bertola, che riteneva che qualsiasi restrizione all’uso significasse che il progetto non era più open source e non doveva essere definito tale.

Hagerty, invece, non si è fatto scrupoli a limitare l’uso per motivi etici, e ha indicato molte ragioni valide per cui gli sviluppatori potrebbero volerlo fare. Alcuni sviluppatori non vogliono che i loro pacchetti vengano utilizzati dalle forze dell’ordine, per esempio, mentre la controversia AWS-Elastic ha mostrato perché sono necessari dei “guardrail”.

Brock condivide la preoccupazione che sviluppi piccoli ma significativi “inizino a intaccare” l’open source. “A volte si vedono persone che creano licenze che non sono open source, per esempio, e le spacciano per open source, iniziando a limitare cose come l’uso commerciale”, dice. “E la terribile guerra in Ucraina – cose come la protesta per i conflitti, dove le persone non vogliono che il loro codice venga usato in altri Paesi. Non si tratta di una restrizione finanziaria, ma di una restrizione geografica o di persone; questo tipo di cose si ripercuotono sul lavoro di tutti i giorni.

Soffocare l’open source con il sostegno legislativo

In vista dello State of Open Conference 2023, il dipartimento precedentemente noto come DCMS ha pubblicato una consultazione chiedendo pareri su come il governo britannico possa svolgere un ruolo nella sicurezza. Tra le priorità c’è il rafforzamento della sicurezza, soprattutto alla luce di incidenti come Log4Shell. L’intervento del Regno Unito segue l’ordine esecutivo della Casa Bianca sull’open source dello scorso anno e il prossimo Cyber Resilience Act dell’UE.

Sia Brewer che Brock sono incoraggiati dal linguaggio e dalle intenzioni del documento del DCMS e da come il Regno Unito potrebbe effettivamente, anche se in ritardo, adottare un ruolo di supporto nell’ecosistema.

Brewer sottolinea anche il dialogo costruttivo con la Casa Bianca. C’è tuttavia disagio per come si sta delineando la legislazione dell’UE, con confusione su alcuni dei linguaggi utilizzati. Per Rumbul, tuttavia, tre regimi normativi che entrano in vigore contemporaneamente rappresentano un rischio concreto, soprattutto a causa di possibili disallineamenti e confusione.

“Ci sono tre diverse autorità di regolamentazione – tutte guardano all’open source, usano un linguaggio leggermente diverso, si concentrano su aree leggermente diverse e parlano di soluzioni leggermente diverse”, sottolinea l’esperta. Questo, di per sé – dimenticando che la normativa, se scritta male, potrebbe essere un rischio – il fatto che ci sia questa frammentazione anche tra tre territori che dovrebbero essere abbastanza allineati, sarà un rischio per l’open source”.

Che ci piaccia o no, i regolamenti possono essere applicati e dobbiamo capire come lavorarci. Se non sono ben definite o sono perniciose in qualche modo, anche se non lo sono nelle intenzioni, vedremo che si ricorrerà a soluzioni alternative o a conseguenze non volute.

Il deficit di fiducia tra comunità e aziende

Mettendo da parte il rischio di un intervento governativo, le tensioni in corso sul ruolo delle aziende nella comunità open source non si sono placate, soprattutto quando sono coinvolti finanziamenti e profitti. In effetti, alla luce delle conseguenze di AWS-Elastic e di altri esempi, c’è ancora un attrito del tipo “Davide e Golia” nella comunità.

“Lo squilibrio di potere è sempre stato un po’ scomodo tra open source e proprietario, o tra individui open source e grandi aziende”, spiega Rumbul. “Vale la pena ricordare che a volte nelle comunità di manutentori c’è molta diffidenza nei confronti delle grandi aziende, perché in passato sono state piuttosto aggressive e poco sincere”.

Sebbene le imprese “stiano facendo molto meglio”, molte non investono ancora abbastanza denaro in progetti da cui traggono effettivamente profitto. Con un numero sempre maggiore di entità aziende, settore pubblico o privati che utilizzano il software open source, si stanno diffondendo anche alcune falsità.

“Brewer si è lamentato in una sessione pubblica di domande e risposte, mentre Brock ha insistito sul fatto che i consumatori dell’open source non dovrebbero considerarne l’adozione come un modo per tagliare i costi.

I curatori: migliore soluzione?

Brewer si sofferma anche sull’aumento della curatela, che svolge un ruolo chiave nell’ecosistema. I curatori spesso risiedono all’interno delle aziende e lavorano utilizzando anche i tool come quello di google OSV per correggere il codice vulnerabile nei software, molti dei quali potrebbero, o non potrebbero, essere ben mantenuti in primo luogo.

Spesso retribuiti, i curatori sono diventati estremamente influenti nella sicurezza della catena di fornitura del software: Google prevede che entro il 2025 quattro imprese su cinque utilizzeranno pacchetti software curati. I manutentori, tuttavia, che sono in gran parte non retribuiti e contribuiscono al codice dei progetti per una passione intrinseca, sono diffidenti nei confronti della crescente influenza dei curatori, soprattutto a causa del deficit di fiducia tra la comunità e le grandi aziende.

“Spero che la curatela funzioni, e spero che sia qualcosa che i manutentori accolgano e non si sentano minacciati”, ha affermato Brewer. “In realtà, può essere ottimo per i manutentori, soprattutto se toglie loro parte del lavoro banale che devono fare. Penso che un buon curatore, per esempio, dovrebbe scrivere casi di test e i manutentori ne trarrebbero beneficio”.

Egli vede la prevalenza di un divario tra un senso di purismo la “libertà e la bellezza dell’open source”, come dice lui e un software che funziona con certe proprietà e con la maggior parte dei consumatori. Sebbene il cambiamento faccia “un po’ paura”, la collaborazione tra curatori e manutentori potrebbe essere vantaggiosa per entrambi. “Questo divario esiste, è fondamentale e dobbiamo colmarlo. Credo che la curatela sia di gran lunga il modo più probabile per farlo”.

Finanziare il futuro dell’open source

Nonostante molte entità a scopo di lucro svolgano un ruolo nel finanziamento delle comunità, altre vanno contro questa etica. Alcuni enti a scopo di lucro, per esempio, stanno iniziando a riporre aspettative ingiuste sui manutentori, in gran parte non retribuiti, affinché correggano il codice difettoso o vulnerabile che usano, entro una scadenza da loro stabilita.

Un’altra coorte, che finanzia i progetti, ritiene che le donazioni conferiscano loro uno status di priorità nelle richieste di funzionalità o correzioni. I governi, nel frattempo, stanno diventando consumatori sempre più importanti di software open source, ma finora non hanno contribuito in alcun modo.

Tutti concordano sul fatto che lo status quo non funziona e che è necessario trovare un modello di finanziamento e manutenzione sostenibile a lungo termine, ma nessuno riesce a mettersi d’accordo su cosa sia o su come arrivarci.

Per illustrare il problema, le fondazioni come quella di Rumbul possono svolgere un piccolo ruolo nel mantenimento delle proprie comunità, ma non possono farlo in modo efficace senza la certezza dei finanziamenti, nonostante raccolgano più di 2 milioni di dollari di donazioni all’anno. Attualmente, ad esempio, può assumere personale solo con contratti di un anno, perché le entrate future non sono certe.

Proposte in circolazione

Che dire delle proposte in circolazione? Tutti sono d’accordo sul fatto che i governi debbano intervenire in qualche modo con denaro constante, mentre Brock propone anche una “Nazioni Unite” per l’open source, che comprenda curatori indipendenti e finanziati dai governi, che assegnino i finanziamenti in modo equo e in tutto l’ecosistema.

Rumbul è favorevole a un modello simile a quello dell’Information Commissioner’s Office (ICO), in cui le organizzazioni affiliate pagano quote di iscrizione. Un altro sviluppatore ha suggerito un modello simile a quello di Raspberry Pi. Secondo Brewer, aziende come Data Bricks si occupano di curatela e sforzi come questo dovrebbero essere incoraggiati e sostenuti.

Sebbene ci siano molte ragioni per essere ottimisti riguardo all’open source, le difficoltà che esistono da tempo non sono prossime a essere risolte e il futuro dell’ecosistema è tutt’altro che garantito.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *