Nessuna pretesa di esenzioni, però, anzi, “la responsabilità di tipo etica sulla sicurezza deve restare, per spingere la maturazione dell’intero settore”. Un settore che, con il Cyber Resilient Act si fa in tre: produttori, amministratori e singoli sviluppatori, assieme a enti di beneficenza e chiunque ci si dedichi senza alcun fine commerciale. Alexander Sander della Free Software Foundation Europe si sofferma ad elencare le tre parti con voce ferma, per sottolineare che ciascuna ha responsabilità e obblighi diversi e che serve “uno scambio tra produttori e community e singoli sviluppatori, per migliorare la resilienza in scala collettiva”.
La varianza dell’open source
Tornando ai misunderstanding di Schulz, il secondo riguarda l’impatto degli attacchi informatici stessi. Affermandolo ad alta voce, ci si sente trascinati anni indietro, ma ”ancora molti non comprendono che sono ben più gravi di una semplice rottura dell’infrastruttura IT, o di una singola perdita o fuga di dati”. Emblematico è diventato il caso di XZ, la “micro” utility software del mondo Linux/Unix, chiave per una porta di accesso di sicurezza recentemente colpita da attacco social engineering.
“Essendo gestita da un volontario, con un chiaro approccio non industriale, i danni sono stati diffusi – commenta Pianon – l’episodio dimostra quanto sia importante che tutto il mondo open source sia pronto. Invece permangono molti mismatching tra persone coinvolte e importanza della loro posizione nella catena della sicurezza”. Per supportare il mondo open source, ci vorrebbero “meccanismi volontari che raggiungano tutti i più vari progetti, perché alcuni sono decisamente virtuosi, altri meno”.
Nell’universo Java, per esempio, secondo Pianon ci sono “grandi buchi, progetti piccoli e poco finanziati, molto usati da un’industria che però non contribuisce e non ha alcuna consapevolezza di cosa rischia non facendolo”. Nello stesso contesto Cra ci sono e arriveranno linee guida e documenti. Sander parla addirittura di “un canale diretto con le autorità di mercato, attraverso cui chiedere informazioni sul funzionamento di una macchina complessa e molto difficile da imparare, in particolare se sei un singolo sviluppatore o una microimpresa”.
Ciò che serve, dove serve
Nella roadmap del Cra declinata al mondo open source, la prima tappa – ancora da raggiungere- è quella della collaborazione fattiva e quasi quotidiana tra produttore e steward. E poi, come efficacemente sintetizzato da Piana, “bisogna far arrivare le risorse in modo efficiente dove servono e come servono: perché o si salvano tutti o nessuno”. Sander si permette una precisazione, doverosa, a sua avviso, anzi, decisivo per il successo di Cra su tutti i fronti. “il lavoro di squadra dovrà essere pienamente collaborativo, non deve accadere che gli steward si debbano sentir dire cosa fare dai produttori. Devono poter continuare il loro buon lavoro, contribuendo alla sicurezza informatica in modo virtuoso e attivo, anche per ottenere il marchio Ce per i produttori” spiega. E precisa che “servono anche finanziamenti, perché chi guadagna grazie all’uso del software libero dovrebbe contribuire alla crescita di coloro da cui ottengono il codice”.
Se si vince questa scommessa multipla, tutti concordano che gli effetti positivi ricadranno a grande quantità. Su tutto l’ecosistema open source, ma anche e soprattutto su tutti gli utenti finali, la vera, incontrastata e riconosciuta preminenza assoluta.
-U88242106163WVM-1440x752@IlSole24Ore-Web.jpg?w=120&resize=120,86&ssl=1 "Mattarella: grave rischio da concentrazione capitali e tecnologia. «Troppa attrazione»")