Puntuale, ogni anno arriva il momento in cui una grande organizzazione si lamenta della comunità open source, sollevando una serie di obiezioni al modo in cui il software open source viene sviluppato, in quanto non riflette le consuetudini – imbevute di cultura del software proprietario – che ha seguito per decenni.
Questa volta le obiezioni arrivano dalla Defense Advanced Research Projects Agency del Governo degli Stati Uniti, o DARPA, che ha ispirato un lungo articolo della MIT Technology Review, in cui cerca di giustificare il progetto Hybrid AI to Protect Integrity of Open Source Code in ottica difensiva – ovvero ci proteggiamo da quello che non riusciamo a comprendere – piuttosto che in ottica collaborativa – ovvero, siccome usiamo in modo estensivo il software open source, vogliamo contribuire al suo sviluppo e al suo miglioramento.
Vi invito a leggere l’articolo con attenzione, perché tra le righe trovate tutti i motivi che mi hanno spinto a scrivere questo commento.
L’intelligenza artificiale per controllare la sicurezza dell’open source: sfide e nuovi approcci
Indice degli argomenti
Perché le grandi organizzazioni di lamentano dell’Open Source
La tendenza a lamentarsi della comunità OS di solito avviene quando l’organizzazione si rende conto che il software open source è diventato indispensabile per le operazioni quotidiane, in quanto tutti i servizi di tipo strategico – e in particolare i server Linux – non dipendono più dal software proprietario.
Un’evoluzione che si è consumata nel corso degli anni, in modo silenzioso, perché il software open source offriva funzionalità più avanzate, una maggiore solidità, e una sicurezza migliore rispetto al software proprietario.
Il kernel Linux, il primo software che viene caricato all’accensione di un server e della maggioranza degli apparati mobili e di rete, è alla base del sistema operativo, gestisce l’interazione tra hardware e software, governa l’uso delle risorse, e aziona quasi tutto il cloud computing, tutti i supercomputer, tutta la internet of things, e miliardi di smartphone.
Questo componente di importanza assolutamente strategica viene sviluppato da una comunità che ha più leader riconosciuti sulla base del concetto di meritocrazia ma non ha un capo, non ha una gerarchia, e non ha ordini di servizio, ovvero, non ha nessuno su cui scaricare le responsabilità in caso di fallimento.
Le aziende tradizionali e il “corpo fluido” della comunità open source
Tutto questo fa letteralmente impazzire le aziende di tipo tradizionale, che non sono abituate a gestire un “corpo fluido” come la comunità open source, e quindi si rifugiano nell’illusoria tranquillità delle loro strutture gerarchiche piramidali, in cui c’è sempre un ordine di servizio da rispettare, qualcuno da elogiare e qualcuno da biasimare.
Purtroppo, lo sviluppo del software non segue le leggi del management (la cui bontà è comunque tutta da dimostrare), per cui non è certo un ordine di servizio a garantire la qualità e la sicurezza del codice, e il fatto che questo non subisca gli eventuali attacchi di un malintenzionato.
Certo, gli sviluppatori open source sono un po’ dispettosi e talvolta si divertono a nascondere un “easter egg” nel codice, ma io preferisco il software sviluppato da qualcuno che si diverte, e infonde nel codice sorgente tutto il suo entusiasmo, rispetto a un’applicazione che rispetta un ordine di servizio, solo perché qualcuno più alto in grado nella gerarchia ha stabilito che quello è il processo da seguire.
Le obiezioni arrivano dalla Defense Advanced Research Projects Agency
Dicevamo in apertura delle obiezioni della Defense Advanced Research Projects Agency del Governo degli Stati Uniti, o DARPA, e del progetto Hybrid AI to Protect Integrity of Open Source Code.
Probabilmente, ma sarei estremamente felice di essere smentito dai fatti, i risultati del progetto DARPA non verranno condivisi con la comunità, visto che di questo non c’è traccia né nell’annuncio del programma né nell’articolo, proprio perché l’ottica è difensiva e non collaborativa.
Ovviamente, consiglio agli esponenti DARPA – e non solo – la lettura del saggio di Nadia Eghbal che cito ampiamente nel mio ultimo articolo su Agenda Digitale: “open source: la sostenibilità passa da sostegno istituzionale e donazioni aziendali”.
Frequento la comunità del software open source dalla nascita del progetto OpenOffice, e all’inizio ho avuto più di un problema a comprendere la comunità stessa come entità e come fenomeno. In effetti, arrivando da una cultura aziendale non è facile comprendere come un’entità “fluida” – ovvero, priva di regole formali – possa arrivare a gestire progetti che hanno le stesse complessità di una grande azienda, e in alcuni casi possa addirittura farlo meglio di un’organizzazione solida e strutturata in modo gerarchico.
Cosa serve per comprendere la comunità open source
In realtà, ci vuole veramente poco per comprendere la comunità open source: basta un po’ di umiltà, e la consapevolezza che i volontari non possono né essere assunti né essere licenziati, ma vanno solo rispettati per quello che fanno e per la loro disponibilità.
Secondo me, il nodo principale è proprio questo: nella comunità i volontari contribuiscono secondo le loro possibilità, e siccome sono coscienti di questo lo fanno rispettando gli altri, perché sanno benissimo che un ritardo o un’assenza non sono dovuti alla negligenza – come succederebbe all’interno di un’azienda – ma ad altri fattori, quasi sempre personali o familiari. Gli esponenti aziendali fanno un po’ di fatica a comprendere questo tipo di organizzazione.
Ovviamente, allo stesso modo vanno rispettati anche gli sviluppatori pagati dalle aziende che interagiscono con la comunità in modo corretto, ovvero spogliandosi del proprio ruolo aziendale nel rispetto del concetto di meritocrazia, e dei ruoli di leadership attribuiti in modo “naturale” dalla comunità stessa per la capacità di guidare con la competenza e l’esempio, senza dare ordini.
Conclusioni
Nell’articolo ispirato da DARPA stona la nota su Huawei, che contribuisce al kernel Linux – così come Samsung e come altri produttori di smartphone – senza che questo rappresenti un problema, anche perché il codice sorgente è pubblico, e sarebbe estremamente difficile – se non impossibile – iniettare del codice inutile o addirittura ostile senza che qualcuno dei responsabili se ne accorga.
A meno di voler deliberatamente ignorare il fatto che il software open source è diventato un riferimento assoluto proprio perché è sviluppato sulla base di regole profondamente condivise e rispettate e non imposte dall’alto. Mi piacerebbe proprio sapere cosa risponderebbero i signori di DARPA se gli venisse imposto di sostituire i loro server Linux con quelli basati su un altro sistema operativo.
