Giovedì 13 gennaio la Casa Bianca ha riunito in fretta e furia le voci più importanti del settore digitale per discutere una questione che ultimamente viene vista come problematica, quella della vulnerabilità di sistemi open source. Si tratta di codici e programmi che vengono messi a disposizione del mondo perché possano essere replicati, modificati e adattati da chiunque voglia metterci mano, entità che nell’ultimo periodo sono finiti al centro della cronaca a causa di un paio di incidenti eclatanti.
Il summit emergenziale ha coinvolto grandi nomi. Apple, Google, Amazon, Meta, IBM, Microsoft, Apache Software Foundation, Oracle, GitHub e la Linux Open Source Foundation hanno tutti preso parte al meeting con l’obiettivo di definire un piano d’azione per cui risolvere un dubbio che il MIT [1] aveva già preso recentemente in considerazione: il come assicurarsi che progetti tenuti in piedi per spirito di volontariato, quando dannosi, non colpiscano l’intera galassia informatica.
Sebbene sia facile pensare che l’utilizzo dell’open source sia a uso esclusivo dei programmatori indipendenti, infatti, sono molte le grandi aziende che sono solite farvi affidamento per creare software che poi vengono diffusi su innumerevoli device. Attingere a soluzioni prefabbricate e gratuite è ovviamente più conveniente che produrre internamente un proprio codice, tuttavia il difetto dietro a questo modus operandi è evidente: se si usa un codice sorgente difettato, tutto ciò che ne deriva è altrettanto menomato.
Gli sviluppatori che regalano il proprio lavoro attraverso piattaforme quali GitHub lo fanno a titolo benefico e spesso non hanno le risorse o il tempo per testare, supervisionare ed aggiornare il proprio prodotto in maniera professionale. In molti casi i progetti sono creati da professionisti alle prime armi che cercano visibilità in attesa di un mestiere remunerato o da individui che vi dedicano solamente il loro tempo libero, contesti in cui è facile incappare in disillusione e vulnerabilità critiche.
Washington è in allarme proprio per una di queste falle. Una libreria Java distribuita gratuitamente, log4j, ha trasmesso un proprio difetto a una fetta gigantesca di strumenti derivati scatenando quella che è stata etichettata da alcuni [2] come «la vulnerabilità più critica dell’ultimo decennio». I malesseri del settore sono tuttavia storici, che si tratti di bug o atti politici: recentemente il programmatore Marak Squires, stufo di vedere le Big Tech appoggiarsi a lui senza alcun riconoscimento economico, ha sabotato [3]alcuni dei suoi codici per danneggiare chiunque ne faccia uso, manifestando un sentimento di frustrazione che ricorda quello del creatore del progetto ua-parser-js, il quale ha abbandonato nel 2018 la propria creatura proprio per la mancanza di un qualsiasi ritorno finanziario.
Poco sorprende dunque che, in occasione della discussione, il gruppo abbia a più riprese evidenziato la necessità di una partnership tra pubblico e privato che serva a identificare progetti open source di vitale importanza da sostenere con fondi e assistenza tecnica. Come si intenda classificare l’urgenza degli open source è ancora confuso, d’altro canto l’incontro è servito perlopiù a fare riconoscere al Governo USA che ormai non si possa fare a meno di questo genere di risorsa, che non esistano alternative valide e che sia necessario intervenire passando attraverso i piccoli sviluppatori. Una simile evoluzione non sarà comunque immediata, la Casa Bianca si prospetta già nuovi meeting da fissare nel prossimo futuro.
[di Walter Ferri]