La sicurezza dell’open source, le riflessioni di Red Hat

Red Hat e la sicurezza dell’open source

Mike Bursell, chief security architect, Red Hat, offre uno spunto di riflessione sulla sicurezza del software open source in azienda.

In un recente sondaggio sul software open source in azienda, il 29% degli intervistati ha indicato “Miglior sicurezza” quale principale motivo della scelta, a pari merito con “Accesso alle più recenti innovazioni”, secondi solo dopo a “Minor total cost of ownership” (33% del campione).

Nulla di nuovo, sappiamo che il software open source ha conquistato l’azienda e data l’importanza della sicurezza per le imprese di qualunque dimensione e latitudine, questa risposta non dovrebbe sorprendere. Ma, per essere chiari: non è che il 29% degli intervistati ritiene che la sicurezza del software open source sia superiore a quella del software proprietario, ma che la miglior qualità rappresenta un vantaggio chiave dell’open source.

Quello che sorprende, tuttavia, è quello che gli intervistati hanno indicato come principale limite all’uso dell’open source in azienda: la sicurezza. Sì, avete letto bene: la security è uno dei principali benefici, ma anche una delle principali limitazioni (38%).

Ma quindi le imprese ritengono che la sicurezza open source sia inadeguata? Non sembra: la risposta circa i vantaggi punta chiaramente verso un’altra direzione. Il motivo sottostante è più sottile.

Sappiamo che ci sono preoccupazioni in azienda circa i rischi per il business, e come la sicurezza possa contribuire a mitigarli. I top manager - CISO, CFO, ecc – sono sempre più consapevoli della necessità di valutare i rischi associati alla supply chain, e questo è particolarmente importante per il software.

Quando si ha un vendor di software proprietario vecchio stile, è facile puntare a quella che sembra un’unica entità, e dire “hanno una buona reputazione sul mercato e finché chiediamo informazioni sulle practice di sviluppo che adottano, possiamo essere certi che il rischio sia minimo”.

Non è il modo corretto di vedere il mondo: sembra assumere che i vendor di software proprietario siano self-contained, e non abbiano dipendenze. Oltre a non tenere conto della qualità dell’implementazione stessa – un’area in cui è evidente (dal 29% sopraccitato) che l’open source è considerato superiore.

Il punto è che coloro che considerano i rischi associati alla supply chain vedono la possibilità per chiunque di contribuire al software open source, e partono dal presupposto che sia questo “prodotto grezzo” a essere consumato dall’enterprise. Se le organizzazioni decidono di adottare progetti open source e usarli direttamente dalla fonte questa potrebbe essere una valida preoccupazione.

Le aziende che hanno sufficienti risorse ed expertise in house per gestire e supportare questa tipologia di modello possono entrare in contatto diretto con la community che può fornire vantaggi significativi, I rischi devono, ovviamente, essere valutati attentamente.

Noi qui però parliamo di “enterprise open source”, quello che offre i benefici aggiunti che ci si aspetta da qualunque software enterprise. Vantaggi che comprendono supporto e service level agreement; documentazione; un ciclo di vita lungo e prevedibile e molto altro ancora tra cui certificazioni rispetto a determinati standard, training e servizi di integrazione.

In breve, se si decide di optare per l’enterprise open source, si sceglie un prodotto, non un progetto. Nessuno dei benefici sopraccitati è legato esplicitamente alla security ma il vero vantaggio dell’enterprise open source software è che il vendor che offre – e supporta - il prodotto ne risponde in termini di qualità e sicurezza.

Non bisogna però pensare che il software open source sia automaticamente più sicuro rispetto a quello proprietario – ma il contributo della community significa poter accedere a un pool di talenti molto superiore a quello di cui possono disporre i vendor proprietari.