Open Source, un rischio per la sicurezza?

La Fortify Software, in collaborazione con il consulente indipendente Larry Suto, ha reso disponibile il documento intitolato “Open Source Security Study : How Are Open Source Development Communities Embracing Security Best Practices?” (pdf) consistente in una analisi della situazione del software open source a livello di sicurezza. Nonostante la crescente adozione di tale tipologia di software da parte di enti e attività business, secondo Fortify, il software open source trascurerebbe generalmente il ruolo della sicurezza nel corso dello sviluppo del progetto, mettendo a repentaglio l’incolumità di enti governativi e organizzazioni, le quali farebbero bene ad utilizzare il software open source «con gran cautela».

Il software open source risulta in rapida ascesa: si stima che più del 50% delle aziende ne facciano uso, nella convinzione di compiere la scelta migliore nel campo delle funzionalità e della scalabilità. Gli strumenti di analisi messi a disposizione da Fortify hanno messo in evidenza però alcuni rischi legati a tale scelta, causati da una certa resistenza da parte dei progetti open source a focalizzarsi sul lato sicurezza. Tale tipologia di programmi mancherebbe infatti di tre elementi essenziali per garantire un adeguato livello di sicurezza: persone, processi e tecnologie. Molti progetti open source mancherebbero infatti nel fornire agli esperti documentazione esaustiva riguardo alle implicazioni a livello di sicurezza e non porrebbero quest’ultima in una posizione predominante nel corso dello sviluppo del progetto: numerose sono infatti le falle rilevate nei diversi software, le quali sembrano inoltre perdurare di versione in versione. In ultimo, la tecnologia non sarebbe utilizzata sapientemente per scoprire le lacune a livello di sicurezza, lasciando ancora ampio spazio a vulnerabilità ben note come quelle riscontrate a livello di Cross-Site Scripting o in grado di permettere iniezioni SQL.

Lo studio ha analizzato 11 applicativi creati in Java, evidenziando numerose falle, come diretto risultato di un processo creativo ove la sicurezza è stata notevolmente trascurata. In conclusione, Fortify Software raccomanda gli enti governativi e le organizzazioni commerciali di adottare il software open source con gran cautela e invita coloro i quali portano avanti lo sviluppo di progetti open source ad adottare pratiche di sicurezza più robuste, a livello delle controparti commerciali.

Quantomeno curiosa la concomitanza di tempi tra la forte analisi Fortify e la clamorosa uscita di Linus Torvalds con cui il guru Linux s’è scagliato contro gli esperti di sicurezza (nella fattispecie puntando il dito contro OpenBSD) definendoli «un gruppo di scimmie che si masturbano». Torvalds ha criticato infatti il clamore in cui lavora il mondo della sicurezza, nel quale vi sono frange che operano più per il bene di se stesse e del proprio nome che non per la bontà del codice e per la salvaguardia degli utenti.