Giovedì 13 gennaio la Casa Bianca ha riunito in fretta e furia le voci più importanti del settore digitale per discutere una questione che ultimamente viene vista come problematica, quella della vulnerabilità di sistemi open source. Si tratta di codici e programmi che vengono messi a disposizione del mondo perché possano essere replicati, modificati e adattati da chiunque voglia metterci mano, entità che nell’ultimo periodo sono finiti al centro della cronaca a causa di un paio di incidenti eclatanti.
Il summit emergenziale ha coinvolto grandi nomi. Apple, Google, Amazon, Meta, IBM, Microsoft, Apache Software Foundation, Oracle, GitHub e la Linux Open Source Foundation hanno tutti preso parte al meeting con l’obiettivo di definire un piano d’azione per cui risolvere un dubbio che il MIT aveva già preso recentemente in considerazione: il come assicurarsi che progetti tenuti in piedi per spirito di volontariato, quando dannosi, non colpiscano l’intera galassia informatica.
Sebbene sia facile pensare che l’utilizzo dell’open source sia a uso esclusivo dei programmatori indipendenti, infatti, sono molte le grandi aziende che sono solite farvi affidamento per creare software che poi vengono diffusi su innumerevoli device. Attingere a soluzioni prefabbricate e gratuite è ovviamente più conveniente che produrre internamente un proprio codice, tuttavia il difetto dietro a questo modus operandi è evidente: se si usa un codice sorgente difettato, tutto ciò che ne deriva è altrettanto menomato.
Gli sviluppatori che regalano il proprio lavoro attraverso piattaforme quali GitHub lo fanno a titolo benefico e spesso non hanno le risorse o il tempo per testare, supervisionare ed aggiornare il proprio prodotto in maniera professionale. In molti casi i progetti sono creati da professionisti alle prime armi che cercano visibilità in attesa di un mestiere remunerato o da individui che vi dedicano solamente il loro tempo libero, contesti in cui è facile incappare in disillusione e vulnerabilità critiche.
Washington è in allarme proprio per una di queste falle. Una libreria Java distribuita gratuitamente, log4j, ha trasmesso un proprio difetto a una fetta gigantesca di strumenti derivati scatenando quella che è stata etichettata da alcuni come «la vulnerabilità più critica dell’ultimo decennio». I malesseri del settore sono tuttavia storici, che si tratti di bug o atti politici: recentemente il programmatore Marak Squires, stufo di vedere le Big Tech appoggiarsi a lui senza alcun riconoscimento economico, ha sabotato alcuni dei suoi codici per danneggiare chiunque ne faccia uso, manifestando un sentimento di frustrazione che ricorda quello del creatore del progetto ua-parser-js, il quale ha abbandonato nel 2018 la propria creatura proprio per la mancanza di un qualsiasi ritorno finanziario.
Poco sorprende dunque che, in occasione della discussione, il gruppo abbia a più riprese evidenziato la necessità di una partnership tra pubblico e privato che serva a identificare progetti open source di vitale importanza da sostenere con fondi e assistenza tecnica. Come si intenda classificare l’urgenza degli open source è ancora confuso, d’altro canto l’incontro è servito perlopiù a fare riconoscere al Governo USA che ormai non si possa fare a meno di questo genere di risorsa, che non esistano alternative valide e che sia necessario intervenire passando attraverso i piccoli sviluppatori. Una simile evoluzione non sarà comunque immediata, la Casa Bianca si prospetta già nuovi meeting da fissare nel prossimo futuro.
[di Walter Ferri]
