Quanto accaduto con la scoperta di una grave vulnerabilità di sicurezza nella libreria Java Log4j accende un faro su quanto l’intera industria, comprese le aziende che fatturano miliardi l’anno, dipendano dai progetti open source.
La libreria Log4j è utilizzata in un numero incalcolabile di software, soprattutto in ambito server. È ad esempio sfruttata per registrare in locale o su server remoti l’attività di un’applicazione memorizzando le informazioni relative alle connessioni in corso.
Non è necessario che l’applicazione che usa Log4j sia direttamente esposta sulla rete Internet perché la vulnerabilità può portare all’esecuzione di codice nocivo nel momento in cui i dati malevoli vengono elaborati in backend. E questo è uno scenario molto comune in ambito aziendale ed enterprise.
Filippo Valsorda (Google) fa notare sul suo blog un aspetto sul quale non è possibile “glissare”.
Lo sviluppatore che ha contribuito a risolvere la falla in Log4j lo ha fatto nel suo tempo libero beneficiando del supporto di soli 3 sponsor GitHub: si tratta di una modalità per sovvenzionare i volontari che si occupano dello sviluppo software di progetti open source.
Valsorda prosegue dicendo che chi s’impegna nel portare avanti soluzioni opensource di solito ottiene soltanto piccole somme attraverso GitHub o Patreon mentre i loro progetti potrebbero essere utilizzati per far funzionare piattaforme che muovono milioni di dollari.
Un bug come quello scoperto nel fine settimana in Log4j può davvero “rompere Internet” e avere conseguenze disastrose per le aziende così come, di riflesso, per gli utenti finali. È giusto dipendere da persone che lavorano su questi progetti nel loro tempo libero senza alcuna equa ricompensa?
Matthew Green, notissimo docente di crittografia presso la Johns Hopkins University, sostiene che l’industria ha assolutamente bisogno di stilare una lista di librerie e tecnologie open source che vengono utilizzati nei progetti più importanti in modo che sempre più persone possano essere coinvolte nei progetti che “fanno funzionare Internet”.
Il problema di Log4j è stato valutato gravissimo (10 punti su una scala di 10) e già in passato si sono presentati casi in cui falle di sicurezza importanti (si pensi ad esempio a quelle in OpenSSL) hanno messo a rischio i dati di imprese e utenti.
C’è quindi un serio problema di investimenti sull’open source e quanto accaduto non può non portare ad aprire, finalmente, una discussione seria sull’importanza cruciale del ruolo degli sviluppatori e soprattutto dei “manutentori software”. Che ci siano persone che contribuiscono alla crescita dei principali progetti a sorgente aperto è soltanto un bene ma l’intera struttura non può essere basata esclusivamente o principalmente sui loro contributi. Altrimenti è come abitare in un castello fatto di carte.
C’è poi un problema ancora più sottile: fare l’inventario delle librerie software utilizzate nelle soluzioni che si utilizzano in azienda è ancora più complicato: non è affatto semplice, soprattutto a livello enterprise dove la complessità del software la fa da padrona ancora oggi, capire se e quali applicativi usano una specifica libreria vulnerabile.
Alcuni tra i principali fornitori di soluzioni di sicurezza centralizzate come Sophos stanno aggiornando i rispettivi sistemi di scansioni delle infrastrutture di rete per aiutare gli amministratori IT a capire quali software integrano la libreria Log4j.
La problematica di sicurezza che sta causando problemi soprattutto agli amministratori IT è descritta con parole semplici in questa serie di tweet.