Sono tutti open con il source degli altri
Photo by on Unsplash
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano che il codice sia lì, a portata di tutti.
Se tutti non sono loro.
Mi spiego meglio, facciamo 100 le persone che usano del software. A naso, 7 investono il loro tempo nello:
- scrivere codice
- scrivere documentazione (testuale o video)
- fare revisioni del codice già scritto per trovare bug o vulnerabilità
Le altre 93, gridano entusiaste al miracolo di questo 1968 in salsa telematica.
Ecco, fino al 2004 con AngeL, poi con Owasp Orizon e dawnscanner le contribuzioni io le posso contare sulla punta delle dita di 2 mani. Se sommo i 3 progetti.
Eppure erano utilizzati. dawnscanner lo è ancora ed è integrato anche nel progetto della Owasp Pipeline ed Owasp Orizon spero torni ad essere utilizzato da molte persone.
Quale quindi il problema? Difficile a dirsi, se non entrando nelle sfere private di sentimenti che vanno verso il “ma che mi interessa a me, ci lavori qualcun altro, io non ho tempo.”
In effetti la passione è l’unico driver che ti fa portare avanti un progetto opensource. La passione ed il fatto di utilizzarlo per il proprio lavoro quotidiano.
Rido però quando i più infuocati sostenitori sbraitano dicendo che “l’opensource è più sicuro perché il codice è lì, alla portata di tutti”. Sì certo, è lì… ma se nessuno da una mano a quel 7% di persone che, oltre al loro lavoro che da da mangiare magari ad una famiglia, devono pensare a portare avanti il progetto, secondo te chi lo guarda il codice?
Ed infatti vengono fuori i vari poodle, heartbleed e drown. Sparando addosso ai problemi di openssl fa ben capire la portata del problema. Certo, il codice è lì da decenni, ma nessuno tra chi lo usa (ed in questo caso sono tanti), è mai andato a spulciarlo o a dare una mano a fare review.
E la comunità di security è proprio la più pigra in tal senso. Le pull request che io ricevo per dawnscanner vengono da sviluppatori Ruby, non da esperti di security.
Secondo me attorno all’effettiva bellezza di scrivere codice e condividerlo con tutti, si è creato tantissimo FUD, tantissima gente che parla per frasi fatte e che in fondo non ha solo voglia di aprire il portafoglio e comprarsi l’alternativa commerciale.
Enjoy it!
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progettoSimili a "Sono tutti open con il source degli altri"
Se questo post ti è piaciuto, sono abbastanza sicuro che troverai questi contenuti altrettanto interessanti. Buona lettura.
GCC, analisi statica e warning mancanti
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima raccontare qui, nella mia versione digitale di un Bullet Journal.
Continua la lettura
Caro diario eccoci qui…
O mamma, è da maggio che non scrivo neanche un post. Vi starete chiedendo se il blog sia ancora attivo… ecco, sì e no.
Continua la lettura
Cosa fa un security engineer in SUSE?
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
Continua la lettura
Non perdere neanche un post, iscriviti ora alla mailing list