Sono tutti open con il source degli altri
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano che il codice sia lì, a portata di tutti.
Se tutti non sono loro.
Mi spiego meglio, facciamo 100 le persone che usano del software. A naso, 7 investono il loro tempo nello:
- scrivere codice
- scrivere documentazione (testuale o video)
- fare revisioni del codice già scritto per trovare bug o vulnerabilità
Le altre 93, gridano entusiaste al miracolo di questo 1968 in salsa telematica.
Ecco, fino al 2004 con AngeL, poi con Owasp Orizon e dawnscanner le contribuzioni io le posso contare sulla punta delle dita di 2 mani. Se sommo i 3 progetti.
Eppure erano utilizzati. dawnscanner lo è ancora ed è integrato anche nel progetto della Owasp Pipeline ed Owasp Orizon spero torni ad essere utilizzato da molte persone.
Quale quindi il problema? Difficile a dirsi, se non entrando nelle sfere private di sentimenti che vanno verso il “ma che mi interessa a me, ci lavori qualcun altro, io non ho tempo.”
In effetti la passione è l’unico driver che ti fa portare avanti un progetto opensource. La passione ed il fatto di utilizzarlo per il proprio lavoro quotidiano.
Rido però quando i più infuocati sostenitori sbraitano dicendo che “l’opensource è più sicuro perché il codice è lì, alla portata di tutti”. Sì certo, è lì… ma se nessuno da una mano a quel 7% di persone che, oltre al loro lavoro che da da mangiare magari ad una famiglia, devono pensare a portare avanti il progetto, secondo te chi lo guarda il codice?
Ed infatti vengono fuori i vari poodle, heartbleed e drown. Sparando addosso ai problemi di openssl fa ben capire la portata del problema. Certo, il codice è lì da decenni, ma nessuno tra chi lo usa (ed in questo caso sono tanti), è mai andato a spulciarlo o a dare una mano a fare review.
E la comunità di security è proprio la più pigra in tal senso. Le pull request che io ricevo per dawnscanner vengono da sviluppatori Ruby, non da esperti di security.
Secondo me attorno all’effettiva bellezza di scrivere codice e condividerlo con tutti, si è creato tantissimo FUD, tantissima gente che parla per frasi fatte e che in fondo non ha solo voglia di aprire il portafoglio e comprarsi l’alternativa commerciale.
Enjoy it!
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progetto