Washington (USA) – La crescente diffusione del software open source in settori chiave della pubblica amministrazione e della difesa statunitensi, ha spinto lo U.S. Department of Homeland Security ( DHS ) ad avviare un progettone scova-bug che dovrebbe contribuire a migliorare la sicurezza e l’affidabilità delle applicazioni a codice aperto.
Finanziato con un investimento di quasi 1,3 milioni di dollari, DHS sta per attivare un sistema automatico che, a partire da marzo, passerà quotidianamente al setaccio il codice di alcuni tra i più famosi progetti a codice aperto . Basato su tecnologie sviluppate da Stanford University , Coverity e Symantec , il sistemone terrà traccia di tutti gli errori di programmazione scovati e li inserirà automaticamente in un database che potrà essere consultato sul Web dagli sviluppatori open source.
I progetti open source che potranno beneficiare del sofisticato sniffatore di bug sono oltre 40, tra cui Linux, Apache, Firefox, KDE, MySQL, FreeBSD, OpenSSL e BIND. DHS sostiene che la propria iniziativa, chiamata Vulnerability Discovery and Remediation Open Source Hardening Project , ha lo scopo di “contribuire a rendere il ciberspazio più sicuro” e “incoraggiare lo sviluppo e l’adozione di tecnologie atte a proteggere l’infrastruttura delle telecomunicazioni statunitense, inclusa Internet e altri network di cruciale importanza”.Il motore di analisi, sviluppato da Coverity, è in grado di setacciare il codice alla ricerca di oltre 20 tipi di vulnerabilità , inclusi i famigerati buffer overflow. Il tool è anche in grado di fornire agli sviluppatori suggerimenti su come ovviare alle problematiche di sicurezza più comuni.
DHS afferma che il suo “setaccio” digitale mette a disposizione della comunità open source tecnologie di test e analisi del codice che oggi solo aziende di medie e grandi dimensioni possono permettersi. Ma all’interno della comunità open non tutti sembrano disposti ad accogliere l’iniziativa a braccia aperte .
Ciò che ad esempio non va giù a Ben Laurie, director della Apache Foundation e coordinatore del progetto OpenSSL, è che Coverity e Symantec ricevano dal Governo USA fior di quattrini per testare e affinare le proprie tecnologie closed source: “Meglio sarebbe stato – afferma Laurie – se gli strumenti di analisi del codice fossero stati messi a disposizione di tutti gli sviluppatori open source”. Una pretesa eccessiva?
Ti potrebbe interessare
