Interviste/ Open source e sicurezza: un caso italiano

Il capo di Digitaltrust, una realtà italiana impegnata nella sicurezza, ha spiegato a PI il suo approccio al mondo open source. Un mondo che, a suo avviso, rischia persino l'estinzione. Ecco perché
Il capo di Digitaltrust, una realtà italiana impegnata nella sicurezza, ha spiegato a PI il suo approccio al mondo open source. Un mondo che, a suo avviso, rischia persino l'estinzione. Ecco perché

Roma – Digitaltrust è una società italiana che opera nel campo della sicurezza e che ormai da tempo ha rivolto la propria attenzione al mondo e alla filosofia di sviluppo open source. I prodotti per la sicurezza di Digitaltrust sono infatti in larga parte basati sulla filosofia open source: una scelta, secondo la società, che rende le sue soluzioni software ?più stabili, affidabili e modulari, grazie all?accesso libero al codice sorgente e alla possibilità di analizzare costantemente i processi e correggere gli eventuali bachi?.

Digitaltrust sostiene di aver scelto di basare i suoi progetti sull?open source perché, grazie all?apertura del codice al pubblico e alla comunità di sviluppatori, ?è possibile attivare un circolo virtuoso che favorisce il controllo costante e minuzioso del software, così da rilevare immediatamente eventuali spazi di miglioramento?. L’azienda ritiene inoltre che l?utilizzo di software open source ?garantisca la personalizzazione del prodotto in funzione delle esigenze della singola azienda?. Molti dei tool sviluppati da Digitaltrust possono essere scaricati dal suo portale Web , da cui è anche possibile accedere a news, alert, link, software di terze parti, glossario e guide, inerenti la sicurezza.

Luca la Ferla Per conoscere meglio questa realtà italiana, e il suo approccio al mondo del software open source, Punto Informatico ha intervistato Luca la Ferla, Amministratore Unico e fondatore di ICE (Internet Centre of Excellence), società di cui Digitaltrust è una strategic business unit.

Punto Informatico : Come nasce DigitalTrust e qual è la sua mission?
Luca la Ferla : Nel 1995 abbiamo fondato ICE (Internet Centre of Excellence) che, se non la prima in assoluto, è stata fra le prime aziende italiane ad offrire consulenza sulle applicazioni nate dalla rivoluzione Internet e ad occuparci di progetti di una certa complessità basati sul TCP/IP. Nel 1996 siamo stati, anche qui probabilmente fra i primi, a divenire partner di Netscape.
Già nel ’96 abbiamo cominciato ad utilizzare all?interno della nostra struttura il sistema operativo Linux, in questo facilitati dal fatto di essere sempre stati orientati verso il mondo Unix. Dal ’97 questa scelta si è sempre più radicata e grandi progetti ? quali, a titolo esemplificativo, Linux, Apache e Qmail – sono divenuti le nostre piattaforme di sviluppo standard. All’interno di un sistema di marketplace, LTP.com , è nata l’idea di DigitalTrust. Questa nuova realtà, nata durante i primi mesi del 2001, doveva costruire un sistema di transazioni sicuro e affidabile che sorreggesse tutto l’e-business di LTP. Da allora Digitaltrust offre prodotti, servizi e contenuti per migliorare la qualità e l’affidabilità di reti, host, applicativi, dati ed informazioni dei sistemi informativi basati sulle tecnologie di Internet.
Parallelamente, Digitaltrust intende creare e diffondere una cultura della sicurezza informatica all’interno delle aziende mediante strumenti di formazione rivolti non solo alle risorse tecniche responsabili dei sistemi, ma anche a tutti gli utenti finali.

PI : Perché vi siete orientati verso strumenti e piattaforme open source? L.l.F. : Di certo non perché, come a volte si sente dire, l’open source ?è gratuito?. La nostra scelta è prettamente legata a ragioni di validità, di robustezza, di affidabilità e di tutti quegli aspetti positivi che oggi l’open source è in grado di offrire. Credo che senza entrare nelle solite guerre di religione a cui queste scelte di solito portano, semplicemente abbiamo visto che questi sistemi garantiscono una maggiore affidabilità e di conseguenza minore costi di manutenzione, di monitoraggio, e di gestione. Per quanto riguarda il servizio offerto al nostro cliente, non potremmo essere più soddisfatti: nell’estate del 2001, quando ci fu un’invasione di worm e altri codici virali che innescarono una sorta di denial of service a catena, i nostri sistemi, pur senza nessun particolare accorgimento dal lato hardware, rimasero perfettamente intonsi. Possiamo dunque dire che la scelta è legata ad un’esperienza diretta di utilizzo durato 7 anni. Oggi il mondo open source ha decisamente degli strumenti affidabili, robusti, modulari, e soprattutto estremamente funzionali, che ci permettono di portare avanti con successo la nostra attività.

PI : Utilizzate solo strumenti di terze parti o ne sviluppate anche in proprio?
L.l.F. : Sviluppiamo anche software in proprio e in particolare è previsto a breve un applicativo che va sostanzialmente a sintetizzare tutta una serie di esperienze che abbiamo accumulato in questi anni di attività, e va a riprendere anche i miei studi iniziali legati all’intelligenza naturale, e in particolare alle reti neurali, algoritmi genetici e sistemi ibridi, volte ad un utilizzo dinamico dell’intelligence e alla gestione della sicurezza. Al momento stiamo sviluppando un applicativo di sicurezza basato sul motore di Nessus, uno dei progetti open source più dinamici, interessanti e aggiornati sul panorama mondiale. Su questo validissimo nucleo di codice andiamo a costruire un’interfaccia, o meglio, un’ infrastruttura, in grado di elaborare i dati nella loro forma grezza e fornire in uscita report e analisi che possano essere interpretati dalle aziende più efficacemente, dando loro un miglior quadro della situazione. Quindi il nostro lavoro, oltre quello di sviluppare applicativi per la sicurezza ex novo, è anche quello di creare moduli che vadano ad integrarsi a software open source di terze parti e che ne colmino le lacune o li rendano adatti ad entrare in azienda come soluzioni commerciali.

PI : Che tipo di licenze adottate per i vostri software?
L.l.F. : Dipende. Alcuni, e naturalmente tutti quelli che già integrano parti di codice rilasciate con questo tipo di licenza, adottano la classica GPL. Per altri software possiamo invece avvalerci di altri tipi di licenze più o meno free. Ad esempio, per il nostro applicativo Sonar che si basa su un progetto GPL, offriamo due versioni: una rilasciata sotto una versione modifica della GPL e una che adotta invece una licenza commerciale. Questo lo possiamo fare perché non andiamo a modificare il codice sorgente ma ci limitiamo ad interfacciargli dei moduli sviluppati da noi. In questo caso sono dunque dei componenti software che vivono al di fuori del progetto.

PI : Se doveste sviluppare un prodotto di sana pianta, quale licenza adottereste?
L.l.F. : Anche in questo caso, dipende. Io credo che l’open source sia un movimento composto da persone molto in gamba che dedicano il proprio lavoro e il proprio impegno a sviluppare software che spesso non ha nulla da invidiare, ed anzi talvolta supera, quello di natura commerciale. Però, in un’ottica di medio periodo, il fenomeno a cui si assiste è che molti di questi software ? per ovvie ragioni di ritorno economico ? finiscono per trasformarsi in prodotti commerciali.
Bisogna far capire alla gente che l’open source non è migliore perché è gratis, ma è migliore perché migliore è il modello di sviluppo e distribuzione su cui si basa. Ciò non toglie che io sarei disposto, per alcuni dei software open che utilizzo, a remunerare in qualche modo l’autore o gli autori: nel caso di Nessus, ad esempio, sarei persino propenso ad acquistarlo se divenisse commerciale, e questo perché ritengo che al momento, in circolazione, non ci sia nulla di meglio.
D’altro canto penso anche che nel momento in cui un software open source diventa commerciale, perde parte di quel volano costituito dalla partecipazione di utenti e sviluppatori: perde, in pratica, il favore e l’appoggio di una comunità che, in alcuni casi, può anche essere di proporzioni molto ampie. Ho già visto molti esempi di ottimi software nati come open source che poi, quando probabilmente si è trattato di fronteggiare le spese di mantenimento, hanno adottato licenze commerciali. Personalmente credo che se non si trova una soluzione a questo fenomeno, e non si riesce a trovare forme di remunerazione per coloro che hanno impiegato risorse e tempo nello sviluppo di un software free, rischiamo che l’open source sparisca.

PI : Lei cosa propone? L.l.F. : Crisi economica a parte, io credo che una forma di remunerazione per questi software potrebbe essere quella, da parte del mondo aziendale, di dedicare un specie di fondo economico per lo svezzamento e la promozione dei progetti open source. Da parte nostra questo si potrebbe tradurre nello stanziamento di alcune somme ai progetti open source di cui ci avvaliamo più assiduamente, come Apache, Linux, Snort ed altri, in base ai risultati finanziari ottenuti in una certa stagione.

PI : Lei si aspetta che questa potrebbe divenire una prassi diffusa nel mondo aziendale?
L.l.F. : Piuttosto utopistico, anche perché questo si tradurrebbe nella coltivazione di terreni fertili che possano poi risultare produttivi un po’ per tutti, ma senza dubbio sarebbe presuntuoso pensare che questo potrebbe divenire un esempio da impartire ad altri. In ogni modo, se si continua su questa strada, a mio avviso c’è il fondato rischio che questa terra di cui si parlava, ovvero l’open source, si trasformi a lungo andare in un terreno arido e improduttivo. Restando sulla metafora ?agricola?, non si può pretendere di coltivare i nostri campi senza concimarli.

PI : Non pensa che per remunerare l’open source bastino i servizi?
L.l.F. : Questo è un discorso che sicuramente può valere per un’azienda come la nostra, ma molto meno per chi sviluppa all’origine strumenti open source senza avere la capacità o l’infrastruttura necessaria per rivendere a terzi servizi basati sul proprio software. E in ogni caso penso che in progetti di un certo respiro e complessità la vendita di servizi probabilmente non basterebbe a remunerare sufficientemente gli autori. A mio avviso, se si vincola la sopravvivenza del fenomeno open source alla vendita di servizi, finiremo per perdere per strada molti progetti e molti sviluppatori preziosi.

PI : Quindi pensa che la GPL sia, allo stato delle cose, una licenza poco sfruttabile economicamente?
L.l.F. : Così com’è credo che la GPL sia particolarmente adatta per il singolo sviluppatore, come chi, ad esempio, scrive driver per Linux e li mette a disposizione di tutta la comunità. Per un progetto un po’ più complesso, onestamente userei una licenza che possa garantirmi maggiormente sul lato economico e commerciale. Lo stesso kernel di Linux, un progetto open source che coinvolge un numero enorme di sviluppatori, non dico che sia stato comprato da IBM, ma quasi… In ogni caso IBM è divenuta, se così si può dire, la maggiore azionista di Linux, e senza il suo supporto probabilmente lo sviluppo del kernel non avrebbe fatto i passi da gigante compiuti negli ultimi anni.

PI : Visto che siete una società che opera nel campo della sicurezza, come vi ponete di fronte alla diatriba sull’opportunità o meno di divulgare le vulnerabilità di sicurezza ed eventualmente i relativi exploit?
L.l.F. : Se visita il nostro portale potrà capire che noi siamo decisamente a favore della libera divulgazione delle vulnerabilità, però con un minimo di accortezza. Questo per dire che anche in questo campo dovrebbe esistere una sorta di ?netiquette?che regoli il comportamento di esperti e società di sicurezza al fine di non trasformare questo delicato settore in una sorta di far west digitale.

Intervista a cura di Alessandro Del Rosso

Link copiato negli appunti

Ti potrebbe interessare

12 09 2002
Link copiato negli appunti