Oggi, il software libero e open source è abbastanza maturo da essere utilizzato nella maggior parte delle infrastrutture aziendali, ma non è abbastanza maturo da essere considerato in grado di sostituire completamente il software proprietario, in particolare quando si tratta di definire le specifiche relative a fattori fondamentali come la sicurezza, proprio perché non è ancora riuscito a fare “sistema”.
In principio fu una stampante: come nacque il software libero
Quando Richard Stallman cercò di accedere al software proprietario della stampante Xerox del Laboratorio di Intelligenza Artificiale del Massachusetts Institute of Technology per risolvere un problema di inceppamento della carta, non pensava certo alla creazione di una nuova industria.
Era il 1980, e lui voleva semplicemente risolvere un problema di utilizzo, così come aveva fatto con tutte le stampanti precedenti. Fino a quel momento, infatti, l’accesso al codice sorgente del software era normale, e lo sviluppo si basava su una cultura di condivisione che permetteva a tutti di contribuire all’evoluzione dei programmi.
La nuova stampante, però, funzionava con un software proprietario inaccessibile, che Xerox si rifiutò di condividere. Per tutta risposta, Stallman sviluppò i concetti di base del software libero: per il bene degli utenti, tutto il codice doveva essere aperto, senza restrizioni o interventi commerciali.
Nel 1983, Richard rilasciò il sistema operativo GNU – acronimo ricorsivo che sta per GNU is Not Unix – progettato come alternativa libera a Unix, che dominava nei laboratori di ricerca. Poco dopo, Linus Torvalds rilasciò il kernel Linux. Il software libero e open source diventava una realtà.
A quarant’anni di distanza, il movimento nato quasi per caso dall’ostinazione e dal genio di Richard Stallman è diventato un’industria che vale miliardi di euro solo in Europa, secondo le ultime stime degli analisti, che valutano in circa 100 miliardi di euro il contributo del settore al prodotto interno lordo dell’Unione Europea.
Quanto pesa l’assenza di leadership nell’open source
Oggi, il 96% di tutto il codice sorgente incorpora software libero e open-source. GitHub, una tra le più importanti piattaforme di supporto per gli sviluppatori, oggi proprietà Microsoft, è utilizzata da oltre 100 milioni di professionisti – volontari e non – in ogni parte del mondo. Il software libero e open source è dappertutto, dai sistemi di domotica alle automobili e ovviamente ai programmi per computer, compresi i sistemi di intelligenza artificiale come ChatGPT.
Nonostante la crescita e la presenza ormai pervasiva, il software libero e open source – o meglio, l’industria del software libero e open source – non ha nessun tipo di organizzazione paragonabile a quella del software proprietario, ma anzi è spesso diviso sulla base di dettagli come le licenze copyleft o permissive, o su aspetti di governance che non hanno nulla a che vedere con l’assoluta necessità di una struttura di coordinamento che permetta di stabilire rapporti di collaborazione con le istituzioni sia in Europa che negli altri continenti.
Questa assenza di una leadership in grado di rappresentare in modo unitario le diverse organizzazioni del software libero e open source è un problema per tutti, proprio per l’importanza e la pervasività dell’industria.
Un problema evidente in occasione della discussione di leggi o provvedimenti come il Cyber Resilience Act, che ha visto le organizzazioni del software libero e open source – fondazioni, piccole aziende, organizzazioni e progetti – combattere una battaglia in modo prima scoordinato e poi sempre più coordinato, ma mai in modo altrettanto efficace rispetto al software proprietario.
Lezione compresa?
Fortunatamente, in molti hanno compreso la lezione, e di conseguenza sono nate iniziative come la Open Policy Alliance – sotto l’egida di Open Source Initiative – che hanno l’obiettivo di coordinare le attività di comunicazione verso le pubbliche amministrazioni, soprattutto in Nord America e in Europa, dove la situazione è più problematica.
Ovviamente, è necessario un lavoro molto più approfondito, teso a creare una cultura industriale in grado di superare le differenze “tecniche” tra i progetti – che oggi vengono considerate come ostacoli insormontabili, ma nella realtà sono delle minuzie – con l’obiettivo di avere quell’approccio coeso, coerente e coordinato che è mancato fino a oggi, con il risultato che gli interlocutori hanno una percezione spesso completamente sbagliata del software libero e open source.
Più di una volta, ho assistito a dibattiti sul sistema operativo Linux in cui i rappresentanti delle diverse distribuzioni magnificavano le caratteristiche della propria – spesso utilizzando un linguaggio tecnico difficile da comprendere per il 90% degli utenti di personal computer – invece di focalizzare l’attenzione del pubblico sui vantaggi rispetto a Windows e a macOS (che in ogni caso è basato su un kernel FreeBSD, molto simile al kernel Linux), con il risultato che alla fine non erano chiari né i motivi per cui sarebbe opportuno passare a Linux né la scelta della distribuzione, perché alla fine la discussione si era concentrata su chi offriva caratteristiche specifiche che non interessavano più del 10% degli utenti, ovvero proprio quelli che non assistevano al dibattito.
Conclusioni
Quindi, arriviamo addirittura al paradosso di dover giustificare le procedure di sicurezza di software liberi e open source che sono molto più sicuri dei programmi proprietari equivalenti, e sono affetti da un numero di vulnerabilità di un ordine di grandezza inferiore (e non sul singolo anno, ma su un periodo di oltre dieci anni), perché non siamo riusciti a costruire una percezione corretta dell’attenzione che viene dedicata alla sicurezza dai progetti di software libero e open source.
I grandi progetti di software libero e open source sono andati oltre, in termini di dimensioni e complessità, rispetto alle capacità di gestione e coordinamento delle comunità, per cui oggi è necessario un ulteriore passo in avanti in direzione di una gestione manageriale che protegga le specificità della comunità e allo stesso tempo permetta alla comunità stessa di crescere per affrontare le nuove sfide che il mercato sta creando. È un obiettivo complesso e probabilmente difficile, ma anche affascinante, e abbiamo il dovere di provare a raggiungerlo.
