Come ricorderanno i lettori del blog, la backdoor XZ che ha investito ormai due anni fa tutti i sistemi Linux che fornivano quel pacchetto, non è stato un caso a sé stante, non ha riguardato unicamente uno strumento open-source contaminato da malintenzionati, bensì l’intero mondo open-source.

Perché, al netto del problema in sé, erano state proprio le modalità a costringere tutti ad interrogarsi a proposito degli equilibri e dei meccanismi che stanno dietro alla produzione, alla manutenzione ed agli aggiornamenti di software open-source come XZ che, pur essendo piccoli progetti, sono usati ovunque.

Il motivo per cui il maintainer Jia Tan (entità virtuale verosimilmente rispondente a un gruppo di attaccanti) era riuscito a farsi accettare come maintainer di XZ risiedeva nelle problematiche di mantenimento del reale maintainer del progetto, Lasse Collin, che da tempo stava combattendo un pesante burnout.

La necessità di aiuto e l’offerta proveniente da malintenzionati hanno completato quindi il quadro che ha portato al disastro che si è poi verificato.

Arriviamo quindi al punto di cui tratta questo articolo: la lezione è servita? Sono state messe in campo politiche di supporto per quanti rischiano di trovarsi in situazioni simili? Le aziende hanno riconosciuto il valore di queste persone che dedicano gratuitamente il loro tempo per rendere il mondo un posto migliore, una linea di codice alla volta?

Difficile dare una risposta esaustiva, ma ci sono buoni segnali.

L’ultimo report pubblicato dalla Linux Foundation, ad esempio, fa emergere alcuni dati decisamente interessanti a proposito di quanto convenga per le aziende contribuire al software open-source, senza creare fork interni manutenuti autonomamente, di fatto restituendo alla community quanto si utilizza.

Il report ha coinvolto oltre 500 dirigenti IT, ed ha rilevato che le aziende che contribuiscono all’open-source ottengono un ritorno sull’investimento (ROI, Return Of Investment) significativo: fino a 5 volte. I consumatori passivi, quelli cioè che non contribuiscono pubblicamente, devono far fronte a sostanziali costi nascosti, che arrivano fino a 3,5 milioni di dollari.

Il contributo all’open-source si è dimostrato un imperativo strategico per il business, che consente alle organizzazioni di ridurre i costi a lungo termine, accelerare lo sviluppo, migliorare i risultati in materia di sicurezza e influenzare le roadmap dei progetti.

Basta questo per convincere tutti ad andare sull’open-source? Risposta esatta: no.

Fortunatamente i segnali positivi non finiscono qui, poiché ci sono nuove iniziative volte a sviluppare un atteggiamento di sostegno attivo, per supportare realmente quanti sviluppano. È quanto racconta Linuxiac a proposito di Open Source Endowment, una nuova organizzazione non profit che mira a portare il modello di “dotazione patrimoniale” (endowment) di stampo universitario nel mondo dell’open-source, fornendo finanziamenti a lungo termine, basati su investimenti, per progetti FOSS ampiamente utilizzati ma con poche risorse.

Esattamente il caso di XZ e di decine, se non centinaia, di software simili.

E non finisce qui, è The New Stack a raccontare della Commonhaus Foundation, altra associazione non-profit il cui scopo è garantire la sostenibilità dei progetti open-source, i cui principi espressi sulla prima pagina di https://www.commonhaus.org, sono:

• Rispettare l’identità del progetto e della comunità
• Offrire guida e supporto invece di imporre direttive
• Mantenere la trasparenza in tutte le nostre azioni
• Incoraggiare una visione a lungo termine per un impatto sostenibile sul progetto

Insomma, tutto quello che serve perché situazioni come quella di XZ non si presentino più.

Ora non rimane che diffondere queste iniziative, e ricordare a tutti che tante volte il problema principale è chiedere aiuto, piuttosto che ottenerlo. Il mondo potrebbe rivelarsi un posto meno brutto di quello che appare.