La sicurezza dell’open source, le valutazioni di Red Hat

Mike Bursell, chief security architect, Red Hat, pone l’accento sulla sicurezza dell’open source; un importante fattore da considerare in fase di scelta in ambito IT.

In un recente sondaggio sul software open source in azienda, il 29% degli intervistati ha indicato “Miglior sicurezza” quale principale motivo della scelta, a pari merito con “Accesso alle più recenti innovazioni”, secondi solo dopo a “Minor total cost of ownership” (33% del campione).

Nulla di nuovo, sappiamo che il software open source ha conquistato l’azienda e data l’importanza della sicurezza per le imprese di qualunque dimensione e latitudine, questa risposta non dovrebbe sorprendere. Ma, per essere chiari: non è che il 29% degli intervistati ritiene che la sicurezza del software open source sia superiore a quella del software proprietario, ma che la miglior qualità rappresenta un vantaggio chiave dell’open source.

La sicurezza dell’open source

Quello che sorprende, tuttavia, è quello che gli intervistati hanno indicato come principale limite all’uso dell’open source in azienda: la sicurezza. Sì, avete letto bene: la security è uno dei principali benefici, ma anche una delle principali limitazioni (38%).

Ma quindi le imprese ritengono che la sicurezza open source sia inadeguata? Non sembra: la risposta circa i vantaggi punta chiaramente verso un’altra direzione. Il motivo sottostante è più sottile.

Sappiamo che ci sono preoccupazioni in azienda circa i rischi per il business, e come la sicurezza possa contribuire a mitigarli. I top manager – CISO, CFO, ecc – sono sempre più consapevoli della necessità di valutare i rischi associati alla supply chain, e questo è particolarmente importante per il software.

Quando si ha un vendor di software proprietario vecchio stile, è facile puntare a quella che sembra un’unica entità, e dire “hanno una buona reputazione sul mercato e finché chiediamo informazioni sulle practice di sviluppo che adottano, possiamo essere certi che il rischio sia minimo”.

La sicurezza dell’open source

Non è il modo corretto di vedere il mondo: sembra assumere che i vendor di software proprietario siano self-contained, e non abbiano dipendenze. Oltre a non tenere conto della qualità dell’implementazione stessa – un’area in cui è evidente (dal 29% sopraccitato) che l’open source è considerato superiore.

Il punto è che coloro che considerano i rischi associati alla supply chain vedono la possibilità per chiunque di contribuire al software open source, e partono dal presupposto che sia questo “prodotto grezzo” a essere consumato dall’enterprise. Se le organizzazioni decidono di adottare progetti open source e usarli direttamente dalla fonte questa potrebbe essere una valida preoccupazione.

Le aziende che hanno sufficienti risorse ed expertise in house per gestire e supportare questa tipologia di modello possono entrare in contatto diretto con la community che può fornire vantaggi significativi, I rischi devono, ovviamente, essere valutati attentamente.

Noi qui però parliamo di “enterprise open source”, quello che offre i benefici aggiunti che ci si aspetta da qualunque software enterprise. Vantaggi che comprendono supporto e service level agreement; documentazione; un ciclo di vita lungo e prevedibile e molto altro ancora tra cui certificazioni rispetto a determinati standard, training e servizi di integrazione.

In breve, se si decide di optare per l’enterprise open source, si sceglie un prodotto, non un progetto. Nessuno dei benefici sopraccitati è legato esplicitamente alla security ma il vero vantaggio dell’enterprise open source software è che il vendor che offre – e supporta – il prodotto ne risponde in termini di qualità e sicurezza.

Non bisogna però pensare che il software open source sia automaticamente più sicuro rispetto a quello proprietario – ma il contributo della community significa poter accedere a un pool di talenti molto superiore a quello di cui possono disporre i vendor proprietari.