Idee dalla proposta inglese [Was: Re: [Discussioni] Proposta di legge e formati]

[Simo Sorce]

On Thu, 2002-01-10 at 14:38, Marco Ermini wrote:
> Stiamo di nuovo citando la Bibbia, eh? ;-)
Come ogni buon cristiano ;-)

> *Ovviamente* dovresti tradurre OpenSource esattamente come hai tradotto Free
> Software - aveva proprio ragione Chisholm nel secondo corollario della sua
> terza legge... ;-)

Sorgente Aperta? E che e' una nuova casa di cure termali? Non ha senso.

> Sulla comprensibilita' esistono vari dibattiti e secondo me, volendo vedere le
> cose obiettivamente e senza essere dogmaticamente legati a nessuno (guardacaso
> si citano sempre le stesse fonti...), nessuno ha ragione al 100%: hanno
> ragione pure quelli che dicono che "Free Software" e' molto ambiguo. E nel
> nostro caso, e vista l'aria che tira, e' *sicuramente* (al 100%) frainteso.

Free Softwar è certamente ambiguo per questo in Italia si dovrebbe usare
sempre Software Libero che non e' ambiguo.

> Ripeto che e' comunque ormai una discussione bizantina.
chiusa li'.

> > Si, allora meglio partire con la gamba giusta e usare un termine
> > (Software Libero) che IMO durerà molto più a lungo di Open Source.
> 
> Non ho dubbi che tu la pensi cosi', ma non ho capito cosa c'entra con
> l'iniziativa dell'UE. Io penso ne vada tenuto di conto in ogni caso. Per
> favore, non ricominciamo col solito atteggiamento settario per cui quello che
> non ha superato il "test di conformita' al dogma" vada classificato come
> "nemico".

Nessun Dogma, e' mia convinzione che sia cosi' e non sto parlando di
nessun nemico solo che il termine Open Source rischia di sparire presto
nel dimenticatoio e ritengo inutile uilizzarlo in una legge che potrebbe
essere ancora qui fra 20 anni.

> > Mi sorge un dubbio, hai riletto il testo?
> 
> Si' (tu che dici?).

Dico di no visto che dopo poche righe dici: "Se c'e', bene.", cmq non
importa, non era una domanda che cercava risposta :)

> Ripeto, non ho proposto di assumerlo acriticamente. Ho
> parlato di"idee".
E io ti sto solo dicendo quali mi sembrano buone e quali no, o la
discussione doveva finire li'?

> Comunque sia, basta che questo sia previsto. Se c'e', bene. Come lo dici tu in
> queste 4 righe va benissimo.

Sperem.

> Ripeto, non ho proposto di assumerlo acriticamente. Ho parlato di "idee". ...

vedi sopra!

> > Non sono d'accordo, preferisco di molto che il (C) sia di chi fa il sw e
> > che però la PA acceti di affidare incarichi solo se il SW verrà fornito
> > con una licenza libera, altrimenti questo puzza tanto di esproprio.
> 
> Ripeto, non ho proposto di assumerlo acriticamente. Ho parlato di "idee". (si
> e' bloccato ctrl + c).

vedi sopra!

> In linea di massima posso essere anche d'accordo con te, ma non ci vedo nulla
> di male in un "esproprio". Vuoi fare software per la PA? deve essere libero.
> Se un software e' stato realizzato "tailor made" dice la proposta, apposta per
> la PA, senza altri scopi, non ha senso che rimanga chiuso ma ne ha molto che
> sia "liberato". Che si marchi il software come libero e si lasci il (c) a chi
> l'ha scritto? non sono sicurissimo. Pensa solo a due cose:
> 
> 1) Ricordati che di sicuro il (c) non ce l'hanno di sicuro "markoer" o "Simo
> Sorce", ma ce l'hanno Sistemi Informativi, SCAI, IBM ecc. Il singolo
> programmatore, che la GPL ed altre licenze (ma *non* tutte le licenze open)
> vorrebbero salvaguardare, e' gia' stato ampiamente sfruttato e delegittimato
> in una sede molto precedente. Che senso ha che Selfin abbia il (c) di tutto il
> software che muove le Ferrovie dello Stato? tanto vale che lo "espropri" le
> Ferrovie e gli cambi licenza. Qui si parla di qualcosa che per certi versi
> sta "fuori del mercato", si parla dello Stato.

1. Le licenze GPL se ne frega dello sviluppatore vuole salvaguardare la
liberta' dell'utente.

2. L'esproprio non e' mai simpatico e impedirebbe a chi produce sw di
riutilizzarlo per fare altre cose non libere, ora lungi da me affermare
che mi piaccia il sw proprietario, ma se proprio un'azienda vuole creare
anche sw proprietario utilizzando il codice di sua proprietà (che non
sarebbe più invece dopo "l'esprorio" dovrebbe poterlo fare). 
Btw, qui si rientra nella discussione "freedom or power" recentemente
affrontata, personalmente credo che in effetti scegliere una licenza sia
una forma di potere e non di libertà però non è certo il momento adatto
per _forzare_ tutto il sw ad essere libero, bisogna arrivarci per gradi
e con il consenso partecipato della più larga parte possibile della
società IMO.


> 2) Per cambiare licenza ad un software potrebbe essere necessario cambiare il
> detentore del (c). Se esistono (come esistono) gia' dei software realizzati ad
> hoc per la PA che gestiscono dati personali sensibili o procedure critiche, ha
> maggior senso che sia reso "libero" oppure che si cambi questo software. Ai
> produttori puo' anche essere data questa alternativa.

Non è vero che per cambiare licenza si deve cambiare il detentore del
(C), ma sempliecemnte no stato accetta di acquistare quel software solo
se il detentore del (C) lo relicenzia sotto una licenza libera.
Per quanto riguarda il sw già fatto non so quanto ha senso che sia reso
libero, spesso vista la qualità rifarlo sarebbe anche un bene, cmq per
rendere libero un sw che gestisce dati personali o procedure critiche
che è stato sviluppato magari con la convinzione che "ciò che non si
vede è sicuro" ci vorrebbe un bel pò di preparazione (visto gli evidenti
bachi che potrebbero saltare fuori da un sw sviluppato con quei
principi) altrimenti una norma del genere si potrebbe rivelare un
boomeranga contro la "liberazione" del software.

> > > - Il Governo si riserva il diritto di esplorare l'utilizzo di software OS
> > > come metodo di sfruttamento del software realizzato per le societa'
> > > finanziate dal Governo e dagli istituiti accademici e di ricerca.
> > 
> > cosa vuol dire questa esattamente?
> 
> Significa che il Governo puo' costringere le istituzioni da lei finanziate e
> gli istituti di ricerca ed accademici a marcare con una licenza "libera" il
> software da essi prodotto.

Questo mi sembra buono invece, se lo stato finanzia dovrebbe poter
decidere poi come verrà distribuito il software prodotto.

> > Non sono d'accordo, se si ragiona in questo modo non si va da nessuna
> > parte, se serve lo stato deve fare formazione per ottenere le skill che
> > gli servono non prendere il meno peggio.
> > Data una formazione adeguata l'amministratore otterrà le stesse skill su
> > qualsiasi sistema per cui è stato formato.
> > La sicurezza è continuo aggiornamento e la conoscenza di un sistema dal
> > punto di vista dell'amministrazione ordinaria non da praticamente
> > NESSUNA skill nell'ambito della sicurezza,
> 
> Su questo non sono affatto d'accordo. Non credo che si possa sottovalutare
> questo aspetto. Non vorrei proprio avere te come internet provider, perche'
> metteresti sotto chiave i router e lasceresti entrare cani e porci nella sala
> della DMZ ;-)

Hai travisato molto grossolanamente quello che volevo dire e cioè
esattamente il contrario di quello che hai capito.

> Devi per forza stabilire una sicurezza individuale delle macchine. Non puoi
> usare "pippo" come password di root, installare un firewall e pensare di stare
> al sicuro.

Non ho mai detto questo, come sopra.

Quello che ho detto è che un amministratore di sistema che si occupa di
gestione ordinaria non necessariamente (anzi raramente) comprende le
implicazioni della sicurezza di una macchina in ambito di rete. (Sono
quelli che usano password astronomiche e poi si connettono in telnet dal
cile utilizzando un internet caffè, o che scrivono la password sulla
tastiera della macchina.


> > che generalemente coinvolge
> > molto di più i processi e la interazione delle macchine nella rete che
> > la configurazione della singola macchina.(es: non serve a niente che si
> > utilizzi una macchina con livello di sicurezza B1, ovvero con necessità
> > di una piccola card che inserito un codice restituisce un token valido
> > solo per un limitatissimo tempo, di solito, un minuto, se poi il
> > possessore la lascia nel cassetto dell'ufficio e grida il codice al
> > collega dall'altro capo del telefono in mezzo ad una piazza.)
> 
> Capisco questo discorso e capisco cosa intendi dire. So benissimo che e'
> stupido mettere una serratura se si danno delle copie della chiave a tutti.
> Tuttavia, *dovresti* comunque specificare com'e' questa "chiave" per legge, e
> metterla come standard richiesto per la PA. A livello legislativo, non hai
> altre strade: devi farlo per forza. Il governo USA lo ha fatto e mi sembra
> corretto, e mi sembra corretto costringere i fornitori IT del Governo e delle
> agenzie governative a fornire soluzioni che si basino su uno standard di
> sicurezza individuale delle macchine che forniscono. In seguito, ovviamente,
> si possono anche definire per legge gli standard di sicurezza di rete. Ma devi
> definire quelli dei singoli computer come quelli di rete. Lo dovresti fare e
> dovresti definire degli standard "open".

Non sto dicendo che è stupido mettere una serratura avanzata, ma che è
stupido scegliere tale serratura in base agli skill attuali degli
amministratori, si deve scegliere la serratura migliore possibile e
formare il personale ad usarla.

ciao

-- 
Simo Sorce
----------
Una scelta di liberta': Software Libero.
A choice of freedom: Free Software.
http://www.softwarelibero.it