
Negli ultimi tempi, abbiamo visto molti giornali da tutto il mondo riportare notizie di vulnerabilità zero-day identificate dall’intelligenza artificiale. Questi episodi hanno sollevato un interrogativo: è possibile che il software open source stia diventando troppo rischioso per le imprese? Il tema è tutt’altro che marginale, considerando che l’open source rappresenta oltre tre quarti della base di codice aziendale. Eppure, la risposta è immediata: il software open source rimane intrinsecamente sicuro, strutturalmente resiliente e ha fondamenta affidabili.
L’open source costituisce la base di tutta la tecnologia moderna, andando ben oltre l’IT aziendale e Linux. Server applicativi, database, routing di rete, ambienti di sviluppo e tutti gli altri componenti invisibili che compongono il nostro tessuto tecnologico si basano in qualche misura su progetti open source.
Non esiste in sostanza un’alternativa all’open source. Il software proprietario, controllato da un’unica azienda, è ciò che vi si avvicina di più, ma non ne possiede la scalabilità, la varietà e la diffusione capillare. Con il software proprietario il codice sorgente è una scatola nera: solo il fornitore decide cosa correggere e quando. Se viene scoperta una vulnerabilità, è possibile che rimanga segreta, nota soltanto agli attaccanti che l’hanno individuata. Questo modello operativo può dare un’illusione di sicurezza, ma non fa altro che spostare il rischio dove non possiamo vederlo, rendendolo di fatto un’incognita. Nel software proprietario, le vulnerabilità proliferano nell’ombra.
L’open source ribalta questo paradigma rendendo il codice accessibile a tutti, incarnando il principio secondo cui “con sufficienti occhi, tutti i bug diventano evidenti”. Se tutti possono leggere il codice, chiunque può individuare e segnalare problemi. Oggi, questo paradigma si estende anche all’AI che amplifica enormemente la capacità di ispezione del codice. Inoltre, vista la dipendenza dall’open source di così tante organizzazioni, esiste una forte motivazione collettiva nel risolvere le vulnerabilità.
Nessun metodo di sviluppo garantisce software perfettamente sicuro, ma la natura trasparente e collaborativa dell’open source offre vantaggi distintivi rispetto ai modelli proprietari nel contrastare le minacce moderne. Le imprese sono sempre state vigili sulle vulnerabilità man mano che emergono, e continueranno a esserlo. Ciò che è cambiato è la velocità. Dal 2016 il numero di CVE pubblicati è cresciuto di oltre il 520%. Gli strumenti di scansione basati sull’AI oggi scoprono vulnerabilità zero-day critiche in ore anziché mesi, ma meno dell’uno percento delle vulnerabilità scoperte dall’AI è stato corretto. La vera sfida ora è la capacità operativa dell’impresa di assorbire e distribuire le correzioni con sufficiente rapidità.
Il problema è reso più complesso dalla mancanza di coordinamento. Ogni grande organizzazione dipende dagli stessi pacchetti open source di base – Spring Framework, Jackson, Log4j, Pandas, OpenSSL – eppure, in assenza di coordinamento, ciascuna scopre in modo indipendente le stesse vulnerabilità, sviluppa patch in isolamento e mantiene fork privati di cui nessun altro può beneficiare. Il risultato è uno sforzo ridondante, con costi enormi e qualità disomogenea, mentre l’ecosistema nel suo complesso rimane esposto. Per restare sicure, le organizzazioni devono contribuire alle community upstream, accelerare i loro standard operativi, e soprattutto devono farlo insieme.
Cosa possono fare le imprese già oggi
L’open source rimane la base più sicura per l’innovazione, ma ridurre la finestra di esposizione alle minacce richiede azioni immediate. Ecco alcuni passaggi concreti e attuabili che le imprese possono intraprendere oggi per proteggere le proprie supply chain:
• Adottare soluzioni di sicurezza attive: utilizzate soluzioni di supply chain attive che forniscano baseline zero-CVE e protezione runtime, come Red Hat Hardened Images, Red Hat Trusted Libraries e OpenShift Advanced Cluster Security, per accelerare i processi.
Di Chris Wright, Chief Technology Officer and Senior Vice President, Global Engineering, Red Hat
























































