News

Quanto è sicuro un software open-source per il web?

La principale caratteristica del software open source è che il suo codice è disponibile per chiunque voglia leggerlo: far funzionare prodotti del genere è, con qualche piccola eccezione, del tutto privo di costi, e può fornire risultati ed utilizzi di qualità. Ma a livello di sicurezza come stanno realmente le cose? Il fatto che chiunque possa vedere il codice sorgente potrebbe far pensare che sia può facile per gli hacker realizzare attacchi o exploit su questo genere di siti. Esiste, in altri termini, un problema di sicurezza legato all’utilizzo del software open, ad esempio qualora fosse “defacciato” e messo a rischio? La risposta breve a questo genere di domanda è: in linea generale gli esperti suggeriscono che il software open source, se ben mantenuto, tende ad essere più sicuro di quello proprietario. La risposta lunga, di fatto, è leggermente più complessa.

Attualmente, stando alle statistiche di PingDom su un campione di circa 10.000 siti molto famosi, il 75% di essi funziona con soluzioni open, anzitutto – ma non solo – per quanto riguarda il web-server: Apache e nginx sembrano essere le soluzioni che vanno per la maggiore. IIS di Microsoft (proprietario), invece, sembra essere la soluzione immediatamente più diffusa per quanto riguarda gli hosting con supporto ASP. La diffusione capillare della piattaforma WordPress, ad esempio, conferma come tale diffusione sia sempre più consolidata all’interno della fervente comunità dei blogger,  a patto di installare opportuni plugin per la sicurezza.

Le motivazioni per cui i software open source sono più sicuri riguardavano tre aspetti basilari, ovvero:

  1. Vari sviluppatori possono contribuire a rendere più robusta, sicura ed utilizzabile una soluzione open source rispetto ad una proprietaria, incrementando di conseguenza la possibilità che possano individuare falle di sicurezza e bug. Ognuno di essi viene di fatto responsabilizzato, e vengono seguite precise direttive per lo sviluppo di temi, plugin e funzionalità in modo da minimizzare i rischi.
  2. Con la diffusione del software proprietario, l’utente viene tipicamente lasciato in balìa del produttore: nonostante molti di essi abbiano a cuore privacy e sicurezza, non esiste alcuna reale garanzia. Un software open che non sia particolarmente sicuro può essere migliorato anche da noi stessi, a patto di disporre delle opportune competenze e di conoscere le basi della sicurezza di quel software. WordPress, per fare un esempio molto noto, viene aggiornato nel core circa un paio di volte al mese (in media), e questo lo rende meno soggetto ad attacchi di soluzioni software che invece sono vendute e spesso letteralmente abbandonate dal punto di vista dello sviluppo.
  3. Il software proprietario rimane sconosciuto al pubblico, il che implica che potrebbe essere utilizzato per minare alla privacy degli utenti oppure comprometterne la sicurezza. Con un approccio di tipo open

Il fatto che un software open source sia sicuro non fornisce, tuttavia, alcuna garanzia di sicurezza, come abbiamo discusso svariate volte su questo blog: il più delle volte dovrebbero essere gli sviluppatori ed utenti finali stessi ad essere sensibilizzati sul problema, invitandoli costantemente a segnalare qualsiasi tipo di problema. I test di vulnerabilità di un software vanno eseguiti periodicamente e con grande attenzione, dunque, al fine di garantire soluzioni software di livello sempre elevato, e questo sembra decisamente più realistico mediante soluzioni open source, aperte a tutti coloro che vogliano contribuire.

Lascia un commento

Back to top button