Tanti si pongono il problema se il software libero (open source, vedi definizione OSI) possa essere o meno una scelta in grado di garantire la sicurezza di un’azienda. Vorrei dare una risposta con alcuni esempi e casi specifici ormai conosciuti da chi si occupa di sicurezza.

Il Dipartimento della Difesa (DoD) degli Stati Uniti ha dedicato una pagina web alle FAQ riguardanti il software open source e la posizione del DoD stesso a riguardo. In particolare alla domanda se il DoD utilizzi software open source, la risposta è inequivocabile “Yes, extensively!“. In particolare potete trovare uno studio del 2003 nel quale si afferma che l’autonomia del quale gode un prodotto open source garantisce l’utilizzatore nel rapido intervento in caso di attacchi, anche con il supporto sempre pronto e accessibile della comunità open source.

Un altro caso a cui fare riferimento è l’utilizzo della piattaforma LAMP (Linux Apache MySql e PHP) per la maggiornaza delle applicazioni WEB. In particolare, come può evidenziare questa survey, il Web Server Apache è di gran lunga la tecnologia più utilizzata per pubblicare contenuti sul web.

Questo non vuol dire che Apache sia la tecnologia più sicura in assoluto, ma di sicuro la sua vasta adozione insieme all’accesso libero ai sorgenti sono una garanzia per chi vuole portare i propri contenuti sul web.

Il terzo caso è un controesempio: consideriamo l’introduzione di un nuova applicazione all’interno di un’azienda che richiede l’integrazione con il gestionale protetto da licenza proprietaria. Tipicamente c’è la necessità di integrare le anagrafiche clienti, gli account interni, le abilitazioni dei singoli utenti ecc… ecc… Bene, nel caso il gestionale non preveda un sistema d’integrazione basato su standard condivisi (es. Web Services), spesso ci si trova di fronte al problema di accedere allo schema del database in maniera sicura, senza il rischio di perdere informazioni o peggio ancora di violare l’integrità del database stesso. Questo scenario richiede quasi sempre l’intervento diretto, non sempre rapido (trouble tickets aperti per mesi!) e spesso costoso del Software Vendor e l’integrazione può diventare una vera pena!

In sostanza il principio per cui un software open source perchè libero (non gratis…come molti pensano) allora non sia necessariamente sicuro è falso! Anzi è proprio il libero accesso ai sorgenti che garantisce la sicurezza. Tutti possono vedere nel “motore” del software, compresi i malintenzionati, e tutti possono rilevare problemi, comunicarli alla comunità e fornire eventuali contromisure!

Ecco il bello dell’Open Source….una bella macchinina che chiunque può riparare senza dover necessariamente passare dalla concessionaria!! Concludendo, riteniamo che con l’open source si possano avere i seguenti benefici:

• avvantaggiarsi del contributo dei membri della comunità open source per la rilevazione e revisione di possibili vulnerabilità;
• evitare il lock-in tipico dei software a licenza che spesso prevedono l’accesso esclusivo alle librerie SW e alle strutture dati (database) da parte dei software vendors;
• l’utente finale che ne abbia le competenze può personalizzare il software nell’ottica di migliorare la sicurezza o comunque integrarlo in maniera conforme alle policy di sicurezza aziendali;
• fornire sistemi trasparenti, supportati da best practices condivise, evitando la cattiva prassi di garantire la sicurezza segretando e nascondendo le potenziali vulnerabilità.