L’Open Source dopo Heartbleed – Riflessioni “a cuore aperto”

Note for English audience: this post is Italian only, I do apologise with my English readers. Just for your information, is all about the decline of Open Source in current era and how Heartbleed reflect it.

Mi riallaccio alla discussione seguita alla scoperta di Heartbleed, il bug di OpenSSL che sta dimostrando come l’era Open Source (come ce lo eravamo immaginato) sta finendo, per fare qualche riflessione sul suo passato, presente e futuro.

Una precisazione tecnica sul post citato. Non è del tutto vero che solo i cookies possono essere intercettati e che le password sono di solito messe in forma di hash su database. In realtà é più complicato, tramite il bug Heartbleed é possibile catturare le variabili POST mandate dai browser, quindi intercettare le password mandate dai clienti. Con sistemi di accesso tramite OTP come SecurePass questo rischio non ci sarebbe stato, ma non è il momento di soffermarsi sulle soluzioni, piuttosto di guardarsi intorno.
heartbleed
L’Open Source sta arrivando alla fine di un’epoca “d’oro”, ma non ho mai avuto modo di manifestarlo pubblicamente perché mi ritengo pur sempre un “Veteran Unix Admin”.

Quali sono i motivi? Penso fondamentalmente due, alla fine.

La community volontaria è diventata grande, nel senso che ha iniziato a lavorare.

Tutti i programmatori volontari come me, che sin da “piccoli” hanno contribuito ai progetti Open Source ormai sono cresciuti, anche professionalmente, e oggi scrivono codice per lavoro. Quasi tutti noi che abbiamo fatto parte della community abbiamo perseguito il sogno Open Source e ci siamo poi scontrati con la realtà quotidiana e quella dei vendor. Solo Red Hat é stato capace di monetizzare il potenziale dell’Open Source, gli altri si dividono tra chi non ce l’ha fatta, chi vive nell’ombra (ad esempio Enterprise DB o la stessa SuSE), chi é stato acquisito da grosse realtà (ad esempio MySQL). Io ho deciso di perseguire una strada un po’ complicata, ma il “normale” sistemista e programmatore di derivazione Open ormai tende a lavorare per una multinazionale più o meno conosciuta, così come succedeva nell’epoca pre-Open Source. Si, perché vi ricordo che l’Open Source esisteva già prima di Linux e che spesso i compilatori e le librerie erano usati anche in prodotti proprietari.

Perché Linux per le multinazionali vuol dire risparmio.

Il grande successo di Linux ha fatto capire alle multinazionali che poter investire una/due risorse su un progetto Open significa risparmiare parecchio. E se un progetto é ben consolidato e funziona, neanche quella. Quindi capirete che nell’ “universo” IBM o HP (per fare nomi a caso), una persona al mondo che contribuisce a delle librerie é praticamente niente.
Perché solo una o addirittura niente? Spesso il vendor mette una persona su una libreria o un progetto Open che necessita alcune patch necessarie alla realtà aziendale, ma che la comunità’ spontaneamente non scrive. Mi viene in mente ad esempio alcune patch al codice di Apache che possano essere di aiuto a WebSphere. Se però il vendor non ritiene necessario alcuna modifica che porti benefici al proprio business, magari non dedica nessuna risorsa, ecco dove il “bug” di OpenSSL può’ non essere mai stato notato.

Progetti lightweight

Prima di esplorare il secondo motivo, una precisazione su lightweight che IMHO non significa affatto “non sono capace di lavorare in un team grande”, lightweight significa solo progetto lightweight. Posso riportare la mia esperienza di 20 anni in progetti Open Source vari, spesso questi team sono guidati da “primedonne” che non vogliono essere scavalcate. Ci sono in quasi tutti i progetti Open e spesso le discussioni sono così improduttive che per arrivare alla fine bisogna andarsene. L’altro aspetto é che nei progetti di grande respiro, e mi viene da citare ancora Apache, spesso i grossi vendor hanno degli interessi e il “comitato” influenza la direzione del progetto in qualcosa che il singolo sviluppatore non voleva o di cui non sentiva la necessità. Per queste ragioni spesso vengono avviati i progetti lightweight che finiscono “per essere un prodotto mutilato, incompleto e bacato con una release ogni 3 anni”, come diceva già l’autore del post.
Volete un esempio concreto? La mossa di Mark Shuttleworth verso Unity ha avuto delle conseguenze sulla comunità del desktop Linux, che allora stava crescendo notevolmente.
Mark aveva in mente un desktop diverso da Gnome 2 e voleva convincere Gnome a prendere un’altra strada. Alla fine Mark ha “imposto” le proprie idee creando Unity solo per Ubuntu e Gnome ha creato il suo contraltare, Gnome 3.
Risultato? La comunità si è divisa tra un ambiente che funzionicchia e uno poco usabile, fermando l’ascesa che Linux stava avendo sul desktop. Se ne sono avvantaggiate Apple, che ha avuto il suo momento di gloria, e anche Microsoft con Windows, che nonostante gli insuccessi non ha mai perso il suo predominio.

Torniamo alle ragioni del declino, l’OpenSouce fa parte dei costi dell’IT

Vi racconto un aneddoto che porto sempre ad esempio. Nel “lontano” 1997, quando lavoravo in IBM nel supporto e servizi professionali networking di AS/400 (ora iSeries), sono andato a trovare un cliente che faceva sanitari. Ho parlato con il proprietario e mi sono sentito rispondere davanti ad una proposta: “guarda, a me piace molto la tecnologia e mi piace smanettare con i computer. Ma qui facciamo cessi, quindi la tecnologia mi deve supportare a creare cessi migliori o a vendere meglio i nostri cessi. Ovviamente deve costarmi il meno possibile, perché alla fine l’IT é un costo necessario, esattamente come la carta igienica.”
Mi ricorderò sempre di questo esempio così schietto perché mi ha aperto un modo diverso di pensare.

Gli utenti comprano la tecnologia per usarla, non per studiarla.

Per fare un paragone differente, quanti di voi usano il cellulare e sanno esattamente come funziona l’architettura GSM, UMTS e LTE nei minimi dettagli? Gia’ le persone tecnologicamente avanzate non lo sapranno, pensate che all’utente consumer tipo si soffermi sull’infrastruttura GSM? L’importante che è che permetta di comunicare, di fare pettegolezzi, di farsi notare.
Sono d’accordo con la mia amica Yvette Agostini, quando dice che siamo nell’era dell’apparire e non dell’essere. Questa affermazione é vera da sempre ma oggi abbiamo i social networks e le trasmissioni che aiutano ad apparire ancora di più. Uno chef Cracco diventa più famoso grazie a Masterchef di quanto sia “Peppe Zullo” (che conosco), padrone di un ristorante pugliese ad Orsara di Puglia che dà la paga a a Cracco, a mio modesto avviso.

Cosa c’entrano il produttore di water, la società dell’apparire e Peppe Zullo con l’IT e l’Open Source? C’entrano eccome!

Facebook “appare” come una pagina web, Whatsup “appare” come un’applicazione per comunicare. Nessuna delle due mostra l’infrastruttura che c’é dietro e lo sforzo di business per crearla. Come il produttore di sanitari, gli utenti danno valore a quello che vedono e che usano, non a quello che le tiene in piedi. Ecco perché Facebook ha comprato Whatapp per 19 miliardi di dollari, mentre General Electric con 300 mila impiegati ha un valore di 826 milioni di dollari.
Tornando OpenSSL, la gente valuta l’applicazione e cosa può’ farci, relegando all’infrastruttura un ruolo di nicchia ed un puro costo. I programmatori PHP e Java, magari quelli che scrivono codice orrendo ma di effetto “grafico”, diventano dei supereroi e “noi” system administrator o contributori all’infrastruttura, che dobbiamo fare andare a calci le loro applicazioni, come “un male necessario”. Spesso, siccome ascoltano più i programmatori e i “fantomatici” consulenti a cui non farei pulire neanche casa, pure bistrattati perché ci addossano le loro colpe dell’applicativo che non funziona… ma é facile puntare il dito verso qualcun altro, spesso se queste società’ di consulenza sono brave a “condirle” al cliente finale.
Nessuno, neanche i grossi, mettono soldi e risorse sui progetti Open perché sono un costo e “non si vedono” rispetto alle soluzioni che si vedono e che possono vendere al cliente, magari sottopagando il programmatore che si occupa di infrastruttura, e lodando tutti quelli che sono customer-facing oppure che scrivono dei blog facendo copia e incolla.

Se dovessimo chiederci se l’Open Source sopravviverà e rimarrà’ “tra noi”

La risposta é forse si, ma non avrà’ tutta quell’importanza che c’é stata negli anni passati.
Sul Desktop, Apple e la politica “aggressive” di marketing funds e di price drop di Microsoft sul retail fa si’ che Microsoft sarà sempre più venduta sul desktop di Linux…. tanto alla fine, diciamocelo, il cliente userà prevalentemente un browser e poco più, mentre i tablet saranno più’ “smart” anche con una tastiera e video esterni (più’ che sufficiente per usi “normali”). Linux verra’ confinato ad un mondo desktop per settore IT o per una nicchia.
Sulla parte “Enterprise”, RedHat (e SuSe/Canonical/…) rimarranno dei vendor, esattamente come lo sono Oracle, SAP e Microsoft. Le tecnologie basilari Open rimarranno, questo perché le aziende sanno benissimo che così si risparmia, dividendosi costi e rischi, invece di investire un team intero per scrivere codice. Non mi ci vedo che Cisco, HP e IBM si riscrivano le librerie da zero. Pero’ non avranno neanche il boom di prima, ci sarà il “dialetto” OpenStack di RedHat e il “dialetto” OpenStack di Cisco, non l’OpenStack come progetto principale.
Sempre di più ci saranno i Software-as-a-Service (SaaS), l’unica vera fonte di reddito che evita di “copiare” e che imporrà dei “prezzi standard”, un po’ come gli abbonamenti telefonici che si equiparano ormai. Grazie alla diffusione della connessione Internet, così come quella telefonica, il SaaS, insieme ai vendor grossi, sono in futuro l’unico modo per continuare a fare infrastruttura.
Conscio della direzione, già da qualche anno ho deciso di intraprendere una strada diversa, seppur ancora convito dello spirito collaborativo dell’Open Source. Ecco perché nel 2011 é nato SecurePass, proprio per mettere insieme tutte le mie conoscenze e creare un vendor. Forse una strada difficile e impervia, lottando contro colossi come RSA e Computer Associates (CA), ma una strada che percorsa nel modo opportuno, mi porterà a continuare con lo spirito Open Source. Gli adaptor SecurePass, infatti, saranno rilasciati in modalità Open Source su Github.
Mi auguro che in questo mondo di apparenza, seppur largamente ridotto, lo spirito Open Source rimanga vivo tra tutti i veri appassionati di informatica.