Cosa è successo in questi ultimi giorni con Utensili XZ e FFmpeg genera molta preoccupazione per il futuro del software libero. Mi rendo conto che il titolo suona come un clickbait, ma la mia intenzione non è essere apocalittica o generare visite ma sottolineare un fatto che sta destando preoccupazione in molti osservatori.
Richard Stallman è un grande programmatore, ma conoscere la natura umana non fa per lui. Il movimento del software libero richiede la buona volontà della maggior parte dei partecipanti e questo è ciò che sembra mancare.
Non sto incolpando Stallman per il suo successo. Ma, probabilmente, se la Free Software Foundation fosse stata gestita da qualcuno che conoscesse meglio come funzionava l'industria, probabilmente si sarebbero potute prendere delle precauzioni per evitare queste situazioni.
Informazioni su XZ Utilis e FFmpeg
Come abbiamo detto nell'articolo sopra citato, XZ Utils è una libreria di compressione solitamente inclusa nella maggior parte delle distribuzioni Linux. Poiché lo sviluppatore principale era esausto, ha ceduto l'iniziativa a un altro sviluppatore che si faceva chiamare Jian Tao. Un programmatore ha scoperto che Jian Tao includeva un codice che poteva facilitare l'accesso non autorizzato in determinate circostanze. Successive indagini hanno dimostrato che aveva già tentato di farlo in un altro progetto.
FFmpeg è una libreria open source per la registrazione, la modifica e la transcodifica di contenuti multimediali.
Qui alla conto dal social network X del progetto è stato pubblicato:
Il fiasco di xz ha dimostrato come la dipendenza da volontari non retribuiti possa causare gravi problemi. Le aziende miliardarie si aspettano un sostegno gratuito e urgente da parte dei volontari.
@Microsoft @MicrosoftTeams ha pubblicato su un bug tracker gestito da volontari che il loro problema è "ad alta priorità"
Dopo aver gentilmente richiesto un contratto di supporto a Microsoft per la manutenzione a lungo termine, hanno invece offerto un pagamento una tantum di poche migliaia di dollari.Questo è inaccettabile.
Non è la prima volta che un volontario crea un problema di sicurezza.
Heartbleed è stato un serio problema di sicurezza per la libreria open source OpenSSL. Si trattava di una vulnerabilità che consentiva agli aggressori di leggere la memoria di un server o client, accedendo a informazioni riservate. archiviati in memoria, come le chiavi private SSL di un server.
La vulnerabilità è stata introdotta in una patch che un volontario ha caricato un'ora prima del nuovo anno. All'epoca non si sospettava alcun intento doloso.
L'origine del problema
Nei primi due decenni di questo secolo si è verificato un cambiamento nel modello di business delle aziende tecnologiche specializzate in soluzioni per grandi aziende e organizzazioni. Tradizionalmente Si basava sulla vendita di prodotti fisici. Si tratta di soluzioni hardware e software combinate vendute su supporti fisici.
Con la diffusione di Internet e la diffusione del cloud, l’asse della redditività si è spostato dalla vendita di prodotti fisici alla fornitura di servizi. Aziende come IBM, Red Hat, Oracle e successivamente Ubuntu hanno costruito un business basato su Linux e altri prodotti open source facendo pagare il supporto tecnico. Nel corso del tempo, la stessa Microsoft ha dovuto aggiungere il supporto per questi progetti alla propria piattaforma cloud.
Il problema è che molte di queste aziende traggono vantaggio dal software libero e open source ma non contribuiscono. Sia io che i miei colleghi abbiamo coperto la notizia di diversi progetti che hanno cambiato licenza perché vengono utilizzati per fare soldi da organizzazioni che non danno nulla in cambio.
Questa combinazione di sviluppatori esausti, malafede, spionaggio governativo e avidità sta creando un cocktail pericoloso che alla fine può portare alla fine del movimento del software libero sia per mancanza di volontari che per perdita di credibilità.
Come ripararlo?
Penso che si dovrebbe fare un cambiamento nelle licenze sia del software libero che di quello open source, obbligando chi ottiene un beneficio economico a contribuire a quei progetti da cui beneficia.