Software come beni pubblici

Poco meno di un anno fa venivano resi pubblici i dettagli del bug Heartbleed presente nella libreria crittografica OpenSSL, utilizzata da centinaia di migliaia di server Web e moltissimi altri servizi. L’eco di questa vulnerabilità  aveva portato alla luce la situazione precaria della fondazione che gestiva OpenSSL: un solo dipendente a tempo pieno lavorava al codice, e le donazioni ricevute ammontavano in media a 2.000 dollari all’anno. Da allora la situazione di OpenSSL è molto cambiata, grazie anche al denaro donato da molte aziende del settore; ma la generosità  interessata dell’industria IT ha salvato un progetto, senza però risolvere il problema di fondo.

All’inizio di febbraio Werner Koch, che ha sviluppato il tool di cifratura Gnu Privacy Guard (Gpg) e ne cura l’evoluzione e la manutenzione fin dal 1997, ha annunciato l’intenzione di abbandonare il progetto per problemi economici; le donazioni ricevute erano molto inferiori al livello stabilito per garantire il suo sostentamento e pagare uno sviluppatore a tempo pieno. Gpg è un software cruciale per la sicurezza delle comunicazioni su Internet: viene utilizzato per comunicare in modo sicuro via email e per garantire l’identità  degli interlocutori. Anche in questo caso, l’eco della notizia ha permesso di raccogliere molti più soldi del necessario e ha garantito la sopravvivenza del progetto; ma non ci si può sempre affidare alla munificenza di privati, aziende e fondazioni, spesso mobilitati soltanto da un caso mediatico.

D’altro canto, è opportuno che almeno alcuni componenti software siano sviluppati con licenza open source, e resi disponibili nella loro interezza per essere analizzati e verificati da chiunque; è una condizione necessaria per garantire l’assenza di backdoor e quindi la sicurezza degli utenti. Questi software sono a tutti gli effetti beni pubblici, e come tali sono difficili da finanziare: le donazioni private volontarie non sembrano funzionare, ma le sovvenzioni dirette da parte di aziende e (soprattutto) governi sono guardate con grande sospetto.

Probabilmente è necessaria l’intermediazione di un ente terzo, affidabile e trasparente, che possa ricevere il denaro dal pubblico e dal privato, per poi distribuire le risorse ai progetti individuati come cruciali. Ma il finanziamento degli sviluppatori non basta: serve anche un processo di analisi e revisione sistematica del codice, una sorta di peer review che possa aumentarne la qualità  e individuare il maggior numero possibile di bug, e che favorisca lo scambio di informazioni e conoscenze tra gli sviluppatori.

Dario Orlandi

PCProfessionale © riproduzione riservata.