Linux, Android, Mozilla e i loro partner formano un'alternativa significativa al software proprietario. E puntano forte sulla security.

open-source-securite_une

La sicurezza è un aspetto chiave dell'era digitale. Salta fuori una minaccia tutti i giorni e nessuna piattaforma può dirsi completamente immune.

Open source: il successo porta cattive attenzioni

Open source è diventato una forza trainante della digital transformation; tecnologie che sono la spina dorsale del business, ha dichiarato il presidente dell'Open World Forum nel 2014. Chi usa il modello open condivide la propria capacità di innovare e ridurre il time-to-market, con una visione out-of-the-box. A livello di sicurezza la reattività dei contributori al software open è efficiente e rapida, specialmente se viene scoperto un difetto chiave o un sistema viene forzato. Le forze principali dell'open source considerano la sicurezza una priorità e investono di conseguenza.

linuxLa Linux Core Infrastructure Initiative (CII)

Nel marzo 2014 il mondo scoprì Heartbleed, una vulnerabilità introdotta accidentalmente nel sistema di cifratura OpenSSL. Permetteva di raccogliere password e dati sensibili da migliaia di server considerati sicuri, senza lasciare tracce. La falla avrebbe potuto causare una crisi senza precedenti.

Il risultato di questo scossone fu la creazione della Linux Core Infrastructure Initiative. Coordinata da Linux, questa organizzazione supporta e finanzia progetti correlati alla sicurezza, con il coinvolgimento di pesi massimi come Amazon, Cisco, Qualcomm, VMware, Dell, Google, Facebook, Microsoft, Intel, Huawei e altri ancora.

Audit, patch, condivisione di buone pratiche, stimolo all'accountability: gli esperti dei membri CII ricorrono a qualunque mezzo per informare la comunità e mettere in sicurezza la stessa progettazione delle iniziative open source. La prima azione visibile della CII è stata assegnare un badge, un attestato visivo di qualità alle soluzioni open source che rispettano le buone pratiche e offrono coding di qualità. Oltre a questo, la CII ha lanciato numerosi programmi di di verifica dei sistemi, di buone pratiche e di analisi dello sviluppo degli strumenti.

androidAndroid: caccia al bug

Il sistema operativo mobile di Google è il più usato al mondo: dal 52% all'89% degli apparecchi mobile lo usano, secondo gli indicatori di Kantar. Al tempo stesso, per ogni minaccia a iOS, il sistema di Apple, ne esistono quarantasette per Android.

Il programma Android Security Rewards è partito nel 2015 e ricompensa chi individui difetti nel sistema con cifre tra 330 e ottomila dollari, secondo la gravità del problema. Google ha dichiarato che nel primo anno del programma sono stati elargiti 550 mila dollari a 82 contributori. Android Security Rewards fa da complemento d una iniziativa simile, Google Vulnerability Rewards, lanciata nel 2014 per aumentare la sicurezza di google.com, YouTube e della piattaforma Blogger.

mozillaMozilla: SOS

Nel 2014, appena dopo Heartbleed, Mozilla promise ricompense fino a diecimila dollari per i cacciatori di bug dentro Firefox. A questo è seguito MOSS (Mozilla Open Source Support), un programma di supporto ai progetti open source che si propone di tutelare la salute di Internet. Infine Mozilla ha allocato mezzo milioni di dollari a un nuovo programma chiamato SOS (Secure Open Source), basato sul finanziamento di audit e di patch e sul controllo di progetti sensibili, in modo simile a quanto fa la CII ma in misura complementare, secondo la documentazione Wiki di Mozilla, perché focalizzato su progetti concreti con impatto sul breve termine.

Per approfondire