hit counter
Microsoft, Open Source e Sicurezza: parliamone in modo costruttivo - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Microsoft, Open Source e Sicurezza: parliamone in modo costruttivo

Microsoft, Open Source e Sicurezza: parliamone in modo costruttivo

  • Comments 8
  • Likes

Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità a pubblicare un mio intervento) per un commento al dibattito sul tema Open Source e Sicurezza scatenato dalla ricerca Fortify (Open Source Security Study - How Are Open Source Development Communities Embracing Security Best Practices?).

Chi di voi mi segue su questo blog, e quindi conosce meglio il mio punto di vista su questi argomenti, avrà notato un approccio e un livello di dettaglio tecnico sicuramente diverso dal mio solito, e forse si sarà addirittura chiesto, ma è davvero lui??? Vi capisco, ma vi assicuro..., ero davvero io! Ma allora, direte voi, perché questo cambiamento? Vi spiego.

Avevo letto subito il report Fortify, appena se ne è parlato online, e avevo scelto di non bloggare subito perché ero sinceramente curioso di vedere come la notizia sarebbe stata ripresa dalle varie testate/blog che seguo: quando si parla male di Microsoft, di solito il tam tam è istantaneo e amplificato (quando non è distorto, vedi mia rubrica Anti-FUD), e mi domandavo se potesse avvenire lo stesso di una notizia che metteva in cattiva luce l'approccio Open Source sugli aspetti di Sicurezza... Devo dire che sono rimasto piacevolmente sorpreso: certo la notizia non ha guadagnato gli onori delle testate cartacee come sarebbe capitato a Microsoft in un caso analogo, ma ho visto un discreto numero di riprese, tutte abbastanza equilibrate nel centrare, a mio parere, il punto sollevato dalla ricerca Fortify. Tutte equilibrate da questo punto di vista, anche con valutazioni legittime pro o contro la validità della ricerca, tranne una, il commento di Alessandro Bottoni.

Chi si prende la briga di leggere le 11 paginette di questo report (e non chi si basa sul sentito dire, o sui post di altri per elaborare la propria opinione) noterà che il filo logico dello studio Fortify è il seguente: l'uso di OSS sta aumentando; questa maggiore presenza sta aumentando il livello di rischio nelle aziende? Una azienda come Fortify che fa software per il controllo di qualità del software sugli aspetti di sicurezza ha verificato che il software OSS non è immune dalle vulnerabilità (ovvio). Ha poi provato a condividere i report di vulnerabilità con le comunità Open Source, e nonostante questo sforzo, il livello di rischio non si è attenuato. Per capire il perché di questa riluttanza, Fortify ha deciso di fare una indagine, ed il report è il risultato di questa analisi. Conclusioni: i progetti Open Source presi in esame non sembrano adottare le security best practice che il mercato ritiene necessarie per tenere il passo con l'evoluzione dello scenario di rischio.

Voi vedete in questa ricerca un confronto sulla sicurezza di Windows contro quella di Linux? Delle conclusioni che dicono Windows è più sicuro di Linux? Io sinceramente non ho letto nulla di tutto questo: se cercate "Microsoft" trovate solo la frase "Microsoft has also made their threat modeling methodology and supporting tools available online"; se cercate "commercial" trovate "Open source projects should adopt robust security practices from their commercial counterparts" e "Specifically, open source projects can leverage advances already made in the commercial software community".

Di fronte alla possibilità di poter dire la mia sull'argomento avevo due possibilità: quella dettata dall'impulso di prendere una per una le considerazioni di Bottoni e metterle in discussione (come sarebbe sicuramente piaciuto ai più tecnici, me compreso), e quella più ragionata di approfittare dell'occasione per portare una serie di elementi fondamentali all'attenzione di un pubblico più vasto. Ho scelto la seconda strada per due motivi, che ho sempre ribadito su questo blog, uno di forma e uno di sostanza:

1) le guerre di religione non sono per me. Lo scontro di concetti disordinati non aiuta una discussione serena e in grado di produrre valore. Fare solo la parte della Microsoft "offesa" dalle considerazioni di Bottoni (come mi è apparso lui dalla lettura del post su Fortify) non mi piaceva.

2) a mio parere, nella sostanza il punto della ricerca Fortify non era quello sui cui si è concentrato il commento di Bottoni. Quel punto, la necessità di security best practice nello sviluppo del software, merita di essere riportato al centro della discussione perché è molto più importante del semplice confronto Windows/Linux, perché da esso dipende come evolverà il livello di sicurezza dei prossimi anni di tutto l'ecosistema IT.

Messi insieme questi due motivi mi hanno portato a dire, come in conclusione di articolo: se vogliamo ottenere dei progressi sul campo sicurezza, è bene concentrarci su problemi più ampi e strutturali, discutere in modo costruttivo per trovare, se si può, una convergenza su quello che è necessario fare (tutti, nessuno escluso).

Questo non vuol dire che io voglia sottrarmi ad un confronto tecnico su aspetti puntuali, anzi! Il mio blog è nato nel gennaio 2007 proprio con questa intenzione (dialogare e confrontarsi) e spero che chi dia un'occhiata ai miei post possa confermare la mia piena disponibilità a farlo. E' sempre stato (e continuerà ad esserlo) un mio preciso puntiglio quello di non lasciare in sospeso alcuna richiesta di approfondimento e di confronto di idee: in continuità con questo atteggiamento mi impegnerò a valutare una per una, sia le considerazioni puntuali di Bottoni nel suo commento che le obiezioni che vedo fioccare nei commenti su Punto Informatico (e pensare che ero indeciso su cosa portarmi in vacanza da leggere... :-) e provvederò a bloggare al riguardo (userò il nuovo tag "Open Source Software Security" per catalogare questi post) in modo che tutti, soprattutto quelli che si sono dilettati con commenti "simpatici", possano qui trovare spazio per parlarne, come sempre in modo civile e possibilmente in modo costruttivo.

Altri post/risorse correlate:

Share this post :
Comments
  • PingBack from http://www.grabbernews.com/microsoft-open-source-e-sicurezza-parliamone-in-modo-costruttivo-3092.html

  • Ci ho pensato io a fare una disamina delle osservazioni (faziose) di Alessandro Bottoni :-)

    http://geekinfosecurity.blogspot.com/2008/07/report-fortify-su-sicurezza-del.html

  • Alcuni commenti su PI sono, come sempre, da incorniciare... tutte le volte che mi viene la malsana idea di leggerli mi faccio sempre qualche bella risata.

  • Ciao Roberto, non nego di esser davvero contento nel vedere che un chiaro sostenitore Open Source come te abbia una serie di considerazioni in cui anch'io possa ritrovarmi quasi totalmente. Sono interessato ad approfondire alcuni aspetti di quello che hai detto: mi sa che ti tiro dentro alla discussione... (anche perché ormai ci sei già...;-)

  • Caro sirus, credo che, oltre ad affrontare seriamente le obiezioni critiche, farò anche un post ad-hoc per raccogliere i commenti più simpatici...

  • Ciao Feliciano,

     le affermazioni generaliste sull'open, siano esse positive o negative, lasciano il tempo che trovano, sia che si parli di bug, di QA o di peer-code reviewing. Ha senso fare confronti di specie su questioni puntuali, ma a quel punto più che un post servirebbe un paper, vista la quantità e qualità delle informazioni necessarie.

  • Ciao Roberto, grazie del tuo contributo, che condivido. Mi daresti il tuo parere sul report Fortify? (Non mi sembra che tu abbia scritto qualcosa al riguardo) Per la tua profonda conoscenza del mondo Open Source pensi che la loro analisi sia da considerarsi generalista?

  • Mercoledì prossimo, 5 novembre 2008, sarò ospite della seconda edizione della " Giornata

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment