SolarWinds: il disastro e perché è successo
Insomma, che problemi di sicurezza del software siano quasi all’ordine del giorno non è una novità.
Certo è che quando un’azienda scopre che insieme al software che fornisce ai clienti sta facendo girare anche un trojan, questo è un problema. Se poi uno dei clienti è un’azienda di Redmond di nome Microsoft e che grazie a questo risultano vittime i dipartimenti dell’energia americano, la National Nuclear Security Administration ed un buon numero di Stati governativi, allora il tutto diventa un grosso problema.
È il caso discusso in questi giorni dell’azienda SolarWinds e del suo software Orion Platform, un sistema di monitoraggio di rete sviluppato dall’azienda stessa e distribuito come closed-source. Ma per quale motivo ne stiamo parlando su queste pagine?
Beh, semplicemente per la posizione della stessa SolarWinds rispetto al nostro amato open-source: l’azienda infatti è sempre stata una forte antagonista di questo metodo di distribuzione, affermando che “il rischio [di sicurezza, ndr.] è molto minore quando si parla di software proprietario” e che usare software open-source è come “mangiare da una forchetta sporca”. Per la società proprio la sua natura aperta, fa si che questo paradigma può portare chiunque ad inserire codice malevolo, rendendo di fatto il codice aperto molto meno sicuro di quello proprietario. Certo…
La “storia” però ci racconta una cosa molto diversa, ovvero che usare qualcosa facilmente controllabile da chiunque è sempre meglio che utilizzare una “scatola nera” di cui non si sa nulla, anche solo per il fatto che più gente guarda il codice, più sarà facile che gli errori vengano scoperti.
Given enough eyeballs, all bugs are shallow
Dato un numero sufficientemente di occhi, tutti i bug sono superficiali
Questo corollario lo si può trovare nel famoso testo “La Cattedrale ed il Bazar” di Eric S. Raymond, uno dei fondatori dell’open-source stesso, e negli anni sempre più aziende si sono accorte di quanto questo sia vero. Sia da quelle che meglio conosciamo, finanche a quelle che meno ci si aspettava riconoscessero questa cosa (come nel caso della stessa Microsoft con Azure e la sua svolta open-source di questi ultimi anni).
Certo, non è che il codice open-source sia la soluzione ultima a tutti i problemi di sicurezza, anche lui ne ha parecchi (come qualsiasi software). Ma proprio grazie alla sua apertura è possibile su di esso utilizzare sistemi di monitoraggio che ci permettono di identificare, rendere pubblici o per lo meno essere consci dei bug in maniera molto più rapida. Dal Release Monitoring di Red Hat a Replogy, passando per soluzioni di terze parti come Black Duck o Nexus Lifecycle, possiamo in diversi modi tenere sott’occhio l’andamento dei nostri software preferiti.
Inoltre la stessa Linux Foundation sta lavorando a metodologie che permettono di migliorare la sicurezza dei software open-source grazie all’OpenSSF (Open Source Security Foundation), un gruppo che mette insieme i personaggi (e le aziende) chiave nel mondo dell’open-source costruendo una community che si occupi univocamente di questo (con elementi che spaziano da Red Hat a Google, fino ad IBM, Microsoft e GitLab, per citarne alcuni).
Gli scopi di questa fondazione sono quattro:
- Aiutare gli sviluppatori ad identificare i problemi di sicurezza
- Fornire i migliori tool di sicurezza per gli sviluppatori open-source
- Fornire a questi i migliori consigli su come sviluppare software sicuro
- Creare un ecosistema di software open-source in cui il tempo necessario per sviluppare un fix e distribuirlo sia misurato in minuti, non in mesi
Alla fine, quindi, la storica battaglia open contro closed può segnare ad oggi un ulteriore punto a favore del primo, dimostrando ancora una volta che l’apertura e lo scambio di informazioni può solo portare benefici a tutti. Microsoft sembra averlo capito, SolarWinds non ancora: cosa succederà adesso?
Fonte: https://www.miamammausalinux.org/2020/12/solarwinds-il-disastro-e-perche-e-successo/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.