Given enough eyeballs, all bugs are shallow.
Dato un numero sufficiente di occhi, tutti i bug sono superficiali.
Eric S. Raymond, uno dei fondatori dell’open-source, la chiama la “Legge di Linus” ed è uno dei motivi per cui l’utilizzo di software open è diventato così popolare tra gli sviluppatori negli ultimi anni.
Ma tanti occhi ormai non bastano più e servono occhi “dedicati” esclusivamente all’identificazione e risoluzione dei bug e serve coordinazione per non rischiare di avere del lavoro duplicato.
La Linux Foundation prova a cogliere questa opportunità fondando la Open Source Security Foundation (OpenSSF) che combina gli sforzi di aziende leader nel campo dell’open-source – come IBM, Microsoft, GitHub, GitLab, Red Hat, VMware, Google – con la Core Infrastructure Initiative (nata in seguito ad Heartbleed) per creare una comunità di riferimento solida.
Gli obiettivi di OpenSSF:
- identificazione delle minacce alla sicurezza per i progetti open-source, aiutando gli sviluppatori a comprendere meglio cosa mina l’ecosistema open-source e come questi problemi potrebbero incidere sui singoli progetti;
- strumenti per la sicurezza universalmente accessibili e creazione di uno spazio in cui i membri possano collaborare per migliorarli;
- applicare le best practices in ambito security, non solo pubblicando linee guida per gli sviluppatori, ma anche fornendo una piattaforma di apprendimento;
- vulnerability disclosure, creando un ecosistema open-source per raccogliere informazioni relative alle vulnerabilità e relativi bugfix.
La struttura di OpenSSF è di governance aperta che comprende un consiglio di amministrazione (Governing Board), un consiglio di consulenza tecnica (Technical Advisory Council) e un gruppo di supervisione separato per ciascun gruppo di lavoro e progetto.
Massima trasparenza ed indipendenza perché nessun progetto dovrà essere vendor-based e tutto il codice verrà pubblicato su GitHub.
Servirà davvero ad avere un mondo open-source più “sicuro”?
Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.
Lascia un commento