Sta finendo il tempo di NTP?

network_time_protocol_servers_and_clientsAlcuni progetti opensource sono ormai centrali e fondamentali per tantissimi altri; un esempio per tutti è OpenSSL, standard de facto per le comunicazioni cifrate.

Esiste un altro protocollo opensource usatissimo (anche se forse inconsapevolmente), che ha un’implementazione di riferimento da ormai 30 anni (tanto che alcuni credono sia il codice più vecchio ancora in funzione su internet): si tratta di NTP. NTP (Network Time Protocol) permette di tenere sincronizzati gli orologi via internet, ed la sincronizzazione è alla base dell’affidabilità di molte operazioni sulla rete. Diventa chiaro come un problema in questa implementazione abbia ripercussioni potenziali ovunque.

Sottolineamo spesso gli innegabili vantaggi dell’opensource, ma NTP diventa emblematico per un problema (potenziale) di tutti i progetti: l’abbandono. L’opensource è basato su community, e dipende dal lavoro volontario di una moltitudine di persone; succede che un progetto sia finanziato da grandi aziende (Red Hat ne finanzia molti), ma non tutti sono sponsorizzati, o continuano nel tempo ad esserlo. NTP è uno di quei casi dove i frutti sono di tutti ma viene sviluppato da pochi. Troppo pochi. Tanto che l’ultima vulnerabilità (grave) è durata ben 180 giorni: 100 per essere scoperta e 80 per sistemarla. Davvero molto tempo (per l’opensource…).

La risposta di Harlan Stenn, principale manutentore (a tempo perso) del progetto, a chi ha fatto notare la situazione è piuttosto chiara:

Yeah, we think these delays suck too.
Reality bites — we remain severely under-resourced for the work that needs to be done. You can yell at us about it, and/or you can work to help us, and/or you can work to get others to help us

Sì, anche noi pensiamo il ritardo sia pessimo.
La realtà chiama – siamo decisamente sotto organico per il lavoro che dobbiamo portare avanti. Puoi urlarci dietro, e/o puoi lavorare per aiutarci, e/o puoi lavorare per portare altri ad aiutarci

Il problema è più serio di quanto appaia a prima vista sia (come già detto) perché moltissime applicazioni si affidano a qualche sistema per mantenere l’orario corretto, e quel sistema è NTP, sia perché è vecchio ma vorrebbe aggiornarsi, con la sicurezza in primo piano, e con altri progetti secondari per facilitarne l’uso. Ma semplicemente non ce la fa.

If accurate, secure time is important to you or your organization, help us help you: Donate today or become a member

Se un’orario sicuro ed affidabile è importante per te o la tua azienda, aiutaci ad aiutarti: dona oggi o diventa un membro
Perché (aggiungiamo noi) il vero cuore dell’opensource è lo stesso della libertà: la partecipazione.

Fonte: InfoWorld

Ho coltivato la mia passione per l'informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

Tags: , ,