Nessus gira le spalle alla GPL

Uno dei più noti software open source per la sicurezza, lo scanner di vulnerabilità Nessus, abbandonerà presto la licenza GPL per adottarne una commerciale. Una notizia che sta suscitando polemiche e dibattiti nella comunità open

Roma - Ha acceso non poche polemiche la recente decisione del principale autore di Nessus, Renaud Deraison, di abbandonare la licenza GNU GPL. Il suo scanner di vulnerabilità è uno degli strumenti di sicurezza più importanti nel panorama del software libero, e il suo codice viene oggi utilizzato in una selva di prodotti aperti e proprietari.

Di recente Deraison ha annunciato che l'imminente versione 3.0 del proprio tool non sarà più accompagnata dalla famosa licenza di Free Software Foundation. Sebbene lo sviluppatore abbia garantito che il proprio software rimarrà gratuito, la nuova licenza ne blinderà il codice. Naturalmente i sorgenti delle vecchie versioni, inclusa l'attuale 2.5, rimarranno tutelati dalla GPL, e come questi anche l'interfaccia grafica, che il suo ideatore intende continuare a sviluppare come componente open source. Gli attuali utenti, inoltre, potranno ancora contare su aggiornamenti regolari e bug fix.

Tra le motivazioni che hanno spinto Deraison a voltare le spalle alla GPL ve ne sono soprattutto due: il fatto che, a suo dire, "negli ultimi 6 anni praticamente nessuno ha contribuito a migliorare il motore di scansione del programma", e che "un certo numero di aziende sta usando il codice sorgente di Nessus contro di noi per vendere o noleggiare appliance di sicurezza, servendosi così di una scappatoia della GPL".
"Nessus 3 contiene un motore più avanzato e non vogliamo che i nostri concorrenti proclamino di aver migliorato il loro scanner", ha scritto Deraison su di una mailing list.

Se l'autore di Nessus parla di "concorrenti" è perché nel 2002 ha co-fondato una società, chiamata Tenable Network Security, che si occupa dello sviluppo del software e della commercializzazione di soluzioni di sicurezza, tra cui molte basate proprio su Nessus.

"La creazione della società è stata la ragione principale della chiusura del codice di Nessus", ha spiegato a Punto Informatico Luca La Ferla, amministratore delegato di Digitaltrust, società milanese specializzata in prodotti per la sicurezza, alcuni dei quali integranti il codice di Nessus. "Deraison ha fondato la Tenable con l'evidente scopo di cominciare a monetizzare il proprio investimento. Su alcune cose ritengo abbia ragione, tuttavia questa non può non essere considerata come una grave perdita per il mondo open. Va però osservato che oggi si possono trovare delle alternative a Nessus che, seppure non altrettanto mature, appaiono già molto valide".

Fyodor, alias con cui è conosciuto il creatore di un altro ben noto programma open source per la sicurezza, Nmap, ha reagito all'annuncio di Deraison proclamando che il proprio programma "è e resta GPL". "Tenable afferma che l'allontanamento dalla GPL sia necessario per poter migliorare ulteriormente Nessus e/o fare soldi", ha scritto ai propri utenti. "Forse è così, ma il progetto Nmap non ha alcuna intenzione di seguirne le orme. Nmap utilizza la GPL fin dalla sua nascita, avvenuta 8 anni fa, e mi reputo soddisfatto di questa scelta".

Un portavoce di Debian ha poi fatto sapere che se Nessus cambierà licenza non potrà essere incluso nella nota distribuzione Linux. Una decisione che potrebbe essere seguita anche da altri progetti analoghi.

Alcuni sostengono che la mossa di Deraison potrebbe spingere gli sviluppatori open source a prendere il codice aperto di Nessus 2.x e dar vita ad un cosiddetto fork, ovvero ad un prodotto derivato a sua volta pubblicato sotto licenza GPL. Un'eventualità che Deraison ha però definito "altamente improbabile", soprattutto perché molti dei plug-in del programma utilizzano licenze diverse dalla GPL.

Negli scorsi giorni anche un altro diffusissimo programma di sicurezza open source, Snort, è stato interessato da un importante annuncio: l'acquisizione della società che lo sviluppava, Acquire Sourcefire, da parte del colosso Check Point. Molti temono che il passaggio di mano possa minare il modello di sviluppo aperto che, dal 1998, accompagna il noto programma di intrusion prevention. Martin Roesch, fondatore e CTO di Sourcefire, ha tuttavia assicurato che il motore del proprio software rimarrà gratuito e continuerà ad essere distribuito sotto la licenza GPL.

"Per fare business con l'open source è possibile vendere personalizzazioni e servizi aggiuntivi a pagamento oppure, ed io lo preferisco, garantirsi grandi sponsorizzazioni", ha affermato La Ferla. "A mio avviso quest'ultimo modello è il migliore, ma in genere funziona solo per i progetti più importanti e famosi ed è di difficile applicazione in contesti più limitati e specializzati".

La terza via sembra quella intrapresa da Deraison, ossia trasformare un software open source di successo in un prodotto proprietario. Per quelli che scelgono questa strada non v'è paradiso, secondo i sostenitori del modello open source, ma quanti sono davvero pronti a negar loro il purgatorio?
190 Commenti alla Notizia Nessus gira le spalle alla GPL
Ordina
  • Scusate l'OT, ma ho un dubbio e mi pare che qui ci sia un bel po' di gente che se ne intende sulle licenze...
    1)Sviluppo un software X con licenza Y, che si basa su delle librerie GPL per funzionare. Devo necessariamente rilasciare X con licenza GPL (e quindi Y=GPL)?
    2)Questo software può essere migliorato tramite plugins (ma che sono opzionali), possono essere questi plugin non GPL? Che tipo di licenza deve essere Y per non porre vincoli sulle licenze dei plugin (del tipo, preferirei che ci fosse la possibilità di scrivere plugin commerciali, ma non voglio precludere la possibilità di avere plugin liberi)?
    3)Posso scrivere un software che si basa su delle librerie GPL per funzionare e rilasciarlo sotto un'altra licenza free ma non GPL (tipo BSD o Apache)?

    grazie 10000000

  • - Scritto da: Whishper
    > Scusate l'OT, ma ho un dubbio e mi pare che qui
    > ci sia un bel po' di gente che se ne intende
    > sulle licenze...
    > 1)Sviluppo un software X con licenza Y, che si
    > basa su delle librerie GPL per funzionare. Devo
    > necessariamente rilasciare X con licenza GPL (e
    > quindi Y=GPL)?

    Se si basa su librerie GPL deve essere rilasciato con la stessa licenza.

    Se sarà commerciale devi metterti daccordo con gli autori della libreria GPL usata per contrattare una licenza alle loro condizioni (di solito un prezzo da pagare).

    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Whishper
    > > Scusate l'OT, ma ho un dubbio e mi pare che qui
    > > ci sia un bel po' di gente che se ne intende
    > > sulle licenze...
    > > 1)Sviluppo un software X con licenza Y, che si
    > > basa su delle librerie GPL per funzionare. Devo
    > > necessariamente rilasciare X con licenza GPL (e
    > > quindi Y=GPL)?
    >
    > Se si basa su librerie GPL deve essere rilasciato
    > con la stessa licenza.

    Immaginavo

    > Se sarà commerciale devi metterti daccordo con
    > gli autori della libreria GPL usata per
    > contrattare una licenza alle loro condizioni (di
    > solito un prezzo da pagare).

    Questo pensavo non si potesse fare, dato che spesso è difficile/impossibile recuperare TUTTI quelli che vi hanno contribuito

    rinnovo le altre domande:
    se uso la GPL, plugin che per funzionare devono usare il mio prog., possono essere diverse da GPL? In teoria no, ma Nessus pare che fosse GPL ma ci fossero contemporaneamente plugin closed....
  • aspetta te per chiudere il draga...quello draga era e draga resta
    non+autenticato

  • - Scritto da: Anonimo
    > aspetta te per chiudere il draga...quello draga
    > era e draga resta

    Sto leggendo l'articolo: mi sembra un po una sparata... come posso verificare?
    non+autenticato
  • Chiunque sappia contare con il sistema decimale
    può farsi un giro sui siti alla sourceforge e accorgersi
    in tal modo che MAI COME ORA LE LICENZE
    APERTE RACCOLGONO CONSENSI IN TUTTO IL
    MONDO.

    Qui, dal vostro angolino nel vostro paesino
    del terzo mondo, potete denigrare fino a
    sgolarvi, ma non cambierete di una virgola
    la realtà.
    non+autenticato
  • si, poi leggo che ad esempio oltre 2000 sono editor di testo
    la maggior parte sta in alpha e se vedi non vengono aggiornati da oltre un anno. Di progetti buoni ce ne sono molti ma molti di meno ed appena diventeranno abbastanza buoni faranno come nessus
    non+autenticato
  • Dai licenziati dal tuo lavoro (probabilmente di sistemista   :D ) e fai un progetto free software...vediamo quanto campi
    non+autenticato
  • http://www.downloadblog.it/post/577/xara-xtreme-di...
    Con grande scorno dei detrattori a tutti i costi,
    gli esempi di rilascio come oss di sw sono numerosissimi,
    quelli che passano da licenze aperte a proprietarie
    sono piu unici che rari

    non+autenticato
  • la Gpl non se la caga di pezza nessuno
    ad eccezzione dello skifokernel il resto dei programmi seri
    utilizza una licenza meno troieggiante
    Apache
    BSD,X11,MPL
    ecc.

    la GPL castra lo sviluppo delle tecnologie.
    non crea posti di lavoro non crea competizione non crea nulla di nulla. sono pochissimi i casi dove la GPL crea un'effettivo valore aggiunto Trolltech e Mysql
    levate queste 2 mosche bianche,il resto del mondo viaggia su binari differenti.

    non+autenticato
  • - Scritto da: Anonimo
    > la Gpl non se la caga di pezza nessuno
    > ad eccezzione dello skifokernel il resto dei
    > programmi seri
    > utilizza una licenza meno troieggiante
    > Apache
    > BSD,X11,MPL
    > ecc.

    > la GPL castra lo sviluppo delle tecnologie.
    > non crea posti di lavoro non crea competizione
    > non crea nulla di nulla. sono pochissimi i casi
    > dove la GPL crea un'effettivo valore aggiunto
    > Trolltech e Mysql
    > levate queste 2 mosche bianche,il resto del mondo
    > viaggia su binari differenti.

    Quindi mi sai dicendo che da una parte e' un bene che ci siano molte icenze diverse e dall'altra e' un bene che ci sia anche la GPL, infatti come hai detto Trolltech e Mysql ne hanno del valore aggiunto.

    Bhe, sono daccordo. A bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 30 discussioni)