Si può leggere come un avvertimento alle aziende o un attacco ad alzo zero contro lo sviluppo open source, di certo la valutazione di Fortify Software secondo cui l’open source rappresenta un rischio industriale sta facendo parlare di sé.
Lo studio Open Source Security Study , dice Fortify , “certifica che le comunità di sviluppo open source debbano ancora adottare un processo di sviluppo sicuro, e che spesso non si occupano di pericolose vulnerabilità. In più, lo studio ha scoperto che quasi tutte le comunità open non forniscono agli utenti accesso agli esperti di sicurezza per contribuire a rimediare a queste vulnerabilità e ai rischi di sicurezza”.
L’esperto Larry Suto, incaricato delle analisi insieme alla divisione sicurezza di Fortify, ha preso in esame 11 pacchetti software, in particolare Tomcat, Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin e Struts. L’esame mette a confronto le community di sviluppo di questi applicativi e pacchetti con le procedure e gli standard tipici della produzione di software proprietario. E sostiene che è inesatto ritenere che l’adozione di software open source a livello industriale, che peraltro procede speditamente, significhi disporre di un apparato software più sicuro di una controparte proprietaria, anzi sarebbe spesso vero il contrario .
Degli 11 software analizzati, sostiene Suto, nessuno fornisce un contatto riservato ed efficiente sul fronte sicurezza: il reporting di vulnerabilità viene perlopiù trascurato , e addirittura sarebbero moltissime le falle che seppure segnalate migrano da una versione precedente del software a quella successiva, totalmente trascurate dagli sviluppatori.
“Le imprese – ha commentato Jacob West, a capo del gruppo di ricerca di Fortify – devono trattare l’open source proprio come un software sviluppato internamente o dato in sviluppo a terze parti in outsourcing, ovvero devono farlo passare attraverso i propri processi interni di sicurezza, compiendo attività come determinazione del rischio e revisione del codice”.
E se fonti autorevoli sostengono che il codice open tende ad essere assai più stabile e solido di molto software commerciale, secondo Suto e Fortify le cose non stanno così, almeno non per quanto riguarda i pacchetti analizzati in ambito industriale. Fortify avrebbe individuato nel complesso 22.826 problemi di cross-site scripting e 15.612 di SQL injection nei pacchetti esaminati e in versioni diverse di questi software, ma quando ha tentato di avvertire le rispettive comunità di sviluppo “in due terzi dei casi non si sono proprio ottenute risposte”.
Il numero di buchi, sostiene Fortify, è rimasto quasi lo stesso, o persino aumentato , nelle tre versioni successive di sei dei pacchetti esaminati. Ci va giù pesante West: “Non ci sono numeri di telefono. A chi chiedi informazioni? È spesso persino difficile capire chi sia questa gente”. Commenti destinati a non piacere a molti nella comunità open source, che da sempre si sforza per condividere i processi di sviluppo e ragionare in modo aperto anche su bug e vulnerabilità. Mozilla, uno dei nomi più importanti del software a codice aperto, non a caso ha assunto Rich Mogul come consigliere della sicurezza e avviato una iniziativa complessiva sulla sicurezza.
Fortify riporta anche i commenti di altri analisti, come Jennifer Bayuk, già CISO di Bear Stearns, secondo cui “la maggiorparte delle comunità open source non seguono standard di controllo di livello industriale. Esiste un costo nascosto per le imprese nel ricorrere all’open source perché devono testare e patchare i bug di sicurezza che si trovano dinanzi all’improvviso”. Molti dei commenti riportati da Fortify sembrano implicare che, invece, il mondo del closed software sia perfettamente sicuro, ma è inevitabile chiedersi se si tratti di un giudizio equo, a fronte degli innumerevoli bachi individuati su software proprietari di primo piano, e spesso risolti solo con grande ritardo dai rispettivi fornitori.
Più equilibrato potrebbe apparire a molti Rogert Thornto, CTO di Fortify, secondo cui “è imperativo che le aziende adottino un processo che consenta loro di verificare, sistemare e prevenire le vulnerabilità di sicurezza su tutti i propri software di produzione indipendentemente da quale sia la fonte”.
Il problema vero, dunque, starebbe più che altro nell’ approccio delle imprese al software , un approccio notoriamente deficitario che secondo gli esperti deve essere sostituito da analisi del codice e del rischio. E magari dall’uso di software proprietari di produttori che proprio come Fortify forniscono piattaforme di confronto e valutazione di prodotti di diversa natura.