Roma – Ha acceso non poche polemiche la recente decisione del principale autore di Nessus , Renaud Deraison, di abbandonare la licenza GNU GPL . Il suo scanner di vulnerabilità è uno degli strumenti di sicurezza più importanti nel panorama del software libero, e il suo codice viene oggi utilizzato in una selva di prodotti aperti e proprietari.
Di recente Deraison ha annunciato che l’imminente versione 3.0 del proprio tool non sarà più accompagnata dalla famosa licenza di Free Software Foundation . Sebbene lo sviluppatore abbia garantito che il proprio software rimarrà gratuito, la nuova licenza ne blinderà il codice . Naturalmente i sorgenti delle vecchie versioni, inclusa l’attuale 2.5, rimarranno tutelati dalla GPL, e come questi anche l’interfaccia grafica, che il suo ideatore intende continuare a sviluppare come componente open source. Gli attuali utenti, inoltre, potranno ancora contare su aggiornamenti regolari e bug fix.
Tra le motivazioni che hanno spinto Deraison a voltare le spalle alla GPL ve ne sono soprattutto due: il fatto che, a suo dire, “negli ultimi 6 anni praticamente nessuno ha contribuito a migliorare il motore di scansione del programma”, e che “un certo numero di aziende sta usando il codice sorgente di Nessus contro di noi per vendere o noleggiare appliance di sicurezza, servendosi così di una scappatoia della GPL”.
“Nessus 3 contiene un motore più avanzato e non vogliamo che i nostri concorrenti proclamino di aver migliorato il loro scanner”, ha scritto Deraison su di una mailing list.
Se l’autore di Nessus parla di “concorrenti” è perché nel 2002 ha co-fondato una società, chiamata Tenable Network Security , che si occupa dello sviluppo del software e della commercializzazione di soluzioni di sicurezza, tra cui molte basate proprio su Nessus.
“La creazione della società è stata la ragione principale della chiusura del codice di Nessus”, ha spiegato a Punto Informatico Luca La Ferla , amministratore delegato di Digitaltrust , società milanese specializzata in prodotti per la sicurezza, alcuni dei quali integranti il codice di Nessus. “Deraison ha fondato la Tenable con l’evidente scopo di cominciare a monetizzare il proprio investimento. Su alcune cose ritengo abbia ragione, tuttavia questa non può non essere considerata come una grave perdita per il mondo open. Va però osservato che oggi si possono trovare delle alternative a Nessus che, seppure non altrettanto mature, appaiono già molto valide”.
Fyodor , alias con cui è conosciuto il creatore di un altro ben noto programma open source per la sicurezza, Nmap , ha reagito all’annuncio di Deraison proclamando che il proprio programma “è e resta GPL”. “Tenable afferma che l’allontanamento dalla GPL sia necessario per poter migliorare ulteriormente Nessus e/o fare soldi”, ha scritto ai propri utenti. “Forse è così, ma il progetto Nmap non ha alcuna intenzione di seguirne le orme. Nmap utilizza la GPL fin dalla sua nascita, avvenuta 8 anni fa, e mi reputo soddisfatto di questa scelta”.
Un portavoce di Debian ha poi fatto sapere che se Nessus cambierà licenza non potrà essere incluso nella nota distribuzione Linux. Una decisione che potrebbe essere seguita anche da altri progetti analoghi.
Alcuni sostengono che la mossa di Deraison potrebbe spingere gli sviluppatori open source a prendere il codice aperto di Nessus 2.x e dar vita ad un cosiddetto fork , ovvero ad un prodotto derivato a sua volta pubblicato sotto licenza GPL. Un’eventualità che Deraison ha però definito “altamente improbabile”, soprattutto perché molti dei plug-in del programma utilizzano licenze diverse dalla GPL.
Negli scorsi giorni anche un altro diffusissimo programma di sicurezza open source, Snort , è stato interessato da un importante annuncio: l’acquisizione della società che lo sviluppava, Acquire Sourcefire, da parte del colosso Check Point . Molti temono che il passaggio di mano possa minare il modello di sviluppo aperto che, dal 1998, accompagna il noto programma di intrusion prevention. Martin Roesch, fondatore e CTO di Sourcefire, ha tuttavia assicurato che il motore del proprio software rimarrà gratuito e continuerà ad essere distribuito sotto la licenza GPL.
“Per fare business con l’open source è possibile vendere personalizzazioni e servizi aggiuntivi a pagamento oppure, ed io lo preferisco, garantirsi grandi sponsorizzazioni”, ha affermato La Ferla. “A mio avviso quest’ultimo modello è il migliore, ma in genere funziona solo per i progetti più importanti e famosi ed è di difficile applicazione in contesti più limitati e specializzati”.
La terza via sembra quella intrapresa da Deraison, ossia trasformare un software open source di successo in un prodotto proprietario. Per quelli che scelgono questa strada non v’è paradiso, secondo i sostenitori del modello open source, ma quanti sono davvero pronti a negar loro il purgatorio?