Nel mondo del software, tipicamente, quando vengono pubblicati i risultati degli audit di sicurezza l’atmosfera non è mai gioiosa. Del resto a chi piace scoprire vulnerabilità nel proprio codice? Cosa succede però se l’indagine è stata commissionata e resa trasparente dal primo momento?
Le sensazioni possono essere decisamente diverse.
È proprio il caso della Cloud Native Computing Foundation (CNCF) che ha richiesto a due società esterne, nel caso specifico Trail of Bits e Atredis Partners, di compiere un’indagine all’interno del progetto Kubernetes per quanto concerne tutti gli aspetti di sicurezza: networking, crittografia, autenticazione, autorizzazione, gestione dei dati segreti e multi-tenancy.
I risultati sono stati pubblicati in forma open-source, liberamente accessibili all’interno della pagina GitHub del progetto.
Ma cosa dicono i risultati? Cosa è emerso dall’indagine? Esistono al momento 34 vulnerabilità identificate, di cui 4 considerate high severity e 15 medium. Non poche certo, ma va tenuto presente che il progetto Kubernetes è al momento composto da più di due milioni di righe di codice, quindi la proporzione è certamente accettabile.
Ma gli aspetti positivi non finiscono qui: il report identifica le problematiche e ne suggerisce le soluzioni, chiarendo l’aspetto non triviale di come queste vulnerabilità potrebbero essere sfruttate. Non solo, la scoperta di queste falle ha chiaramente già attivato tutti gli sviluppatori coinvolti che hanno già iniziato a produrre le correzioni necessarie.
In una email spedita al sito The Register, il CTO e COO della CNCF, Chris Aniszczyk, si è detto estremamente soddisfatto del processo, suggerendo inoltre come questa modalità pubblica di identificazione delle vulnerabilità sia qualche cosa di virtuoso che anche altri progetti potrebbero adottare:
I don’t know of any other open source organization that has shared and open sourced the whole process around a security audit and the results. Transparency builds trust in open source communities, especially around security.
Non so se qualche altra organizzazione open-source ha condiviso e reso a codice aperto l’intero processo intorno all’audit di sicurezza insieme ai risultati. La trasparenza costruisce la fiducia nelle comunità open-source, specialmente sui temi di sicurezza.
Se lo dice il principale responsabile di uno dei progetti più diffusi nel mondo I.T. attuale non possiamo che condividere, aggiungendo l’auspicio che questo ottimo esempio diventi un modello da imitare per molti altri progetti.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Lascia un commento