Nel percorso di crescita del software open source in azienda, uno degli obiettivi è ottenere la sostenibilità dei progetti: una sostenibilità che oggi, nella maggior parte dei casi, è legata più alla volontà dei singoli che a quella delle organizzazioni.
La situazione attuale, in effetti, è paradossale: nonostante le aziende siano i soggetti che traggono maggior vantaggio dall’adozione del software open source all’interno delle proprie infrastrutture, la maggior parte dei finanziamenti – sotto forma soprattutto di donazioni – arriva dagli utenti individuali.
L’open source si fa largo in azienda: motivi per adottarlo, ostacoli, sistemi più diffusi
Per questo motivo ci ritroviamo, periodicamente, a parlare di progetti open source di importanza strategica – nel 2014 la libreria di crittografia OpenSSL, nel 2021 la libreria Log4J – affetti da vulnerabilità in grado di mettere a repentaglio centinaia di migliaia di siti e di applicazioni, anche a distanza di anni.
Il bug OpenSSL e le sue conseguenze
Secondo un report, nel 2020 c’erano ancora migliaia di siti affetti dal bug OpenSSL.
La scoperta del bug OpenSSL è stata come una scossa per l’open source: il mondo ha realizzato che una libreria utilizzata da centinaia di migliaia di siti proprio per garantire la sicurezza dei dati attraverso la crittografia era gestita a tutti i livelli, dallo sviluppo all’aggiornamento alla sicurezza del codice sorgente, da un paio di sviluppatori full time. Sviluppatori che, insieme ad alcuni sviluppatori volontari, facevano il possibile per la manutenzione di circa 500.000 righe di codice.
Nel momento della rivelazione del bug OpenSSL, qualcosa come il 17% (pari a circa mezzo milione) dei web server sicuri di internet, tutti certificati dalle Certification Authority, diventarono vulnerabili agli attacchi, consentendo il furto delle chiavi private dei server, dei cookie di sessione e delle password degli utenti dei siti.
Nacque una discussione abbastanza vivace, e sia il progetto che l’attività degli sviluppatori vennero analizzati in modo approfondito. Tra i dati presi in esame, uno dei più eclatanti fu quello relativo alle donazioni fatte dagli utenti per garantire l’evoluzione di OpenSSL: soli 2.000 dollari, una cifra assolutamente inadeguata rispetto all’importanza del progetto per gli utenti, e in particolare per gli utenti aziendali.
Utenti aziendali che, com’è stato poi confermato anche da altri progetti, sono quelli che contribuiscono di meno, nonostante il loro uso spesso strategico del software open source.
Steve Marquess, fondatore del progetto OpenSSL, commentò: “Il problema non è che pochi volontari sovraccarichi di lavoro non si siano accorti del bug, il mistero è come mai questo tipo di situazione non si sia già verificato in altre occasioni”.
Nonostante l’impatto devastante del bug, le donazioni non sono aumentate di molto nel periodo successivo alla rivelazione della vulnerabilità: poco più di 800 dollari in totale, che non fanno altro che confermare l’incredibile immaturità delle aziende, che del software open source – indipendentemente dal suo utilizzo più o meno strategico – prendono solo il concetto di “gratis” in quanto libero, ma poi pagano fior di dobloni per accozzaglie di codice come Outlook, per le quali eviterei di usare la definizione di “software”.
Fortunatamente, Linux Foundation ha messo una pezza alla situazione con l’annuncio della Core Infrastructure Initiative, un progetto che ha l’obiettivo di finanziare gli elementi critici dell’infrastruttura di informazione globale, in modo da consentire agli sviluppatori di lavorare a tempo pieno sui progetti e pagare per le verifiche della sicurezza di infrastrutture software e hardware, nonché di partecipare a conferenze dove confrontarsi con gli altri sviluppatori.
L’analisi di Nadia Eghbal
Nel 2016, la ricercatrice (e oggi investitrice) Nadia Eghbal ha pubblicato, con il sostegno della Fondazione Ford, il saggio “Roads and Bridges: The Unseen Labor Behind Our Digital Infrastructure“, liberamente scaricabile, dove esplora la mancanza di sostegno istituzionale per il “codice pubblico”, e analizza sia il funzionamento del sistema sia le sfide che deve affrontare.
Secondo la Eghbal: “Siccome il codice è meno affascinante di un video di successo su YouTube o di una campagna Kickstarter, c’è poca consapevolezza e apprezzamento da parte del grande pubblico per il lavoro svolto dagli sviluppatori, e di conseguenza manca qualsiasi tipo di sostegno istituzionale per la produzione di uno degli elementi che hanno scatenato la rivoluzione dell’informazione”.
Il saggio di Nadia Eghbal, purtroppo, non è stato sfruttato in modo adeguato dal movimento open source per sensibilizzare le istituzioni sul problema, nonostante la ricchezza degli spunti e della documentazione.
Probabilmente, il fatto che fosse sponsorizzato da una fondazione esterna al settore ne ha ridotto l’impatto: anche una persona normalmente bene informata e soprattutto curiosa come il sottoscritto ne ha scoperto l’esistenza dopo qualche anno.
La discussione è stata circoscritta agli addetti ai lavori, con alcuni personaggi che hanno sottolineato l’importanza del problema, ma che – come spesso succede per il software open source – lo hanno fatto all’interno del solito ambiente ristretto delle conferenze di settore o delle istituzioni accademiche.
Per i più curiosi, suggerisco di leggere i contributi di Aaron Stannard, Damien McKenna, Danny Crichton, Giorgio Signorini, Kasper Edwards e Stephen Walli, per citare i nomi degli autori di alcuni tra i documenti più ricchi di contenuti (e non me ne vogliano tutti quelli che non ho citato).
L’attacco alla Open Source Definition
A fronte di questo scarso interesse generale, alcuni progetti open source hanno affrontato il problema della sostenibilità modificando la licenza da open source a proprietaria, attraverso l’aggiunta di clausole o cavilli che rendono la licenza stessa incompatibile con la Open Source Definition. In particolare, i progetti sostenuti da venture capitalist, figure fondamentali ma immature rispetto alla realtà del settore, in quanto abituate a tempi completamente diversi e molto più ridotti sia per il ritorno sugli investimenti sia per le strategie di exit. I nomi più significativi di questi progetti sono Redis Labs, MongoDB, Confluent ed Elastic.
Ovviamente, i venture capitalist, molto più avvezzi al marketing dei sostenitori del software open source, hanno creato intorno alla scelta di licenze proprietarie una narrazione estremamente sofisticata, guidata da uno degli avvocati più esperti nel settore: Heather Meeker. Una strategia tesa a squalificare la Open Source Definition come storicamente inadeguata rispetto alla realtà attuale del software open source.
Personalmente, ritengo che la scelta della proprietarizzazione della licenza sia la risposta peggiore al problema della sostenibilità, anche se perfettamente coerente con l’atteggiamento spesso ottuso dei venture capitalist, perché solleva il dubbio che il software open source non possa dare origine a progetti solidi sotto il profilo del business.
In sintesi, invece di sviluppare un modello di business adeguato alla realtà del software open source, si passa al modello di business “predatorio” del software proprietario: paghi la licenza, usi il software.
Arriviamo quindi al 2019, quando Dries Buytaert, leader del progetto Drupal e fondatore dell’azienda Acquia, che sviluppa soluzioni a valore aggiunto su Drupal, ha pubblicato sul proprio blog un post fondamentale sulla sostenibilità: “Balancing Makers and Takers to scale and sustain Open Source“, che sintetizza in modo quasi perfetto i termini del problema e offre più spunti di discussione per una sua soluzione.
Proprio a questo post sarà dedicato il prossimo articolo, che cercherà di chiudere il cerchio sul problema della sostenibilità del software open source, e offrire nuovi spunti di discussione agli appassionati e di sensibilizzare le aziende a un atteggiamento più responsabile.
