[Discussioni]convegno open source e PA

Alfonso Fuggetta Alfonso.Fuggetta a polimi.it
Gio 19 Giu 2003 15:58:06 CEST 

 
> 1 - le applicazioni "custom" sono di proprieta` della PA che 
> le ha sviluppate/fatte sviluppare, quindi sono "piu`" che 
> Open Source. Dal mio punto di vista, invece, essere di 
> proprieta` della PA e` essere "meno"
> che OS, in quanto si preclude la possibilita` che terzi migliorino
> (gratuitamente) l'applicazione e la rendano ad esempio 
> appetibile anche per altre PA o, perche' no, per privati. In 
> sostanza si preclude quel "circolo virtuoso" che e` uno degli 
> aspetti piu` interessanti del software libero.

Vediamo se riesco a spiegarmi meglio.  La PA non è una azienda: è una struttura pubblica. Se il codice è della PA, essa può decidere di fare quello che vuole nell'interesse della sua missione che è servire I cittadini e perseguire I propri scopi istituzionali. Può renderlo GPL oppure addirittura di dominio pubblico. Per questo dico che è di più. Il pieno possesso da parte della PA rende possibile tutti I livelli di apertura che si ritiene necessari e utili. 

Chi ha detto che se è pubblica "si preclude la possibilita` che terzi migliorino (gratuitamente) l'applicazione"? Io vedo la proprietà piena da parte della PA (cioè del "pubblico") come la precondizione per poi perseguire la strategia di dissemination che si ritiene più utile. "Se è mia (ente pubblico, non privato!) ci faccio ciò che voglio".

Facciamo un esempio. Nel 2000 ero consulente del ministero del lavoro e abbiamo definito un meccanismo per cui il ministero acquisiva la piena proprietà di un prodotto che aveva pagato a Finsiel. Tale prodotto attraverso convenzioni veniva dato "gratuitamente" a tutte le PA del paese affinchè lo potessero utilizzare e estendere con uno schema tipo community sourcing. Dico "tipo" perchè l'idea era quella di "forzare" le PA a condividere I miglioramenti del codice attraverso un repository centrale dei diversi contributi e estensioni.

Questi meccanismi vanno secondo me ben al di là del dire "è GPL". Anche perchè il mancato riuso del codice (come nel caso del lavoro che ho appena citato), come abbiamo scritto nell'indagine della commissione Stanca, non è per niente dovuto a vincoli di licenze! Le PA di solito NON VOGLIONO riusare oppure non riescono a riusare perchè anche quando hanno il codice non sono in grado di adattarlo ai propri bisogni. 

Quindi la piena proprietà da parte della PA è il prerequisito, la condizione necessaria, per fare tutte le azioni a valle utili a diffondere un software. 

Per di più, se io PA commissiono un software custom e non dico che è mio sono pure fesso visto che lo pago. Che gli chiedo nel contratto: che sia GPL? E perchè devo rinunciare io struttura pubblica ad avere la piena proprietà di ciò che pago? E se poi anzicchè GPL lo volessi rendere totalmente di pubblico dominio?
 
> 2 - per conoscere esattamente cosa fa un programma (quindi 
> evitare backdoor eccetera), non e` necessario che sia 
> liberamente utilizzabile e modificabile, ma basta che il 
> sorgente sia aperto (che e` cosa diversa da Open Source). 
> Ora, questo e` vero solo in linea di principio, ma, all'atto 
> pratico le cose vanno diversamente: chi mai si studia 
> migliaia di linee di codice solo per il gusto di sapere se un 
> programma fa quello che dice di fare? Invece, c'e` chi lo fa 
> (magari solo le 1000 che gli
> interessano) perche' deve risolvere un problema analogo o 
> perche' gli interessa fare una modifica ... In questo modo, 
> col tempo, si arriva ad una revisione (quasi) completa del 
> codice che da molte piu` garanzie di una revisione fatta con 
> questo semplice scopo.

Non capisco. Se il codice fosse free non ci sarebbe lo stesso il problema? "chi mai si studia migliaia di linee di codice solo per il gusto di sapere se un programma fa quello che dice di fare"? Se il problema è che la PA sia tutelata, quella che dico io è una soluzione. Tu dici che in pratica uno può fare una revisione mentre fa le estensioni. Ma allora la mia tutela va a farsi friggere. Se in IBM CICS (facciamo un esempio veramente critico) metto una backdoor che ridirige tutti I dati dall'anagrafe tributaria italiana all'IRS americano, e non mi capita mai di andare a mettere le mani su quel pezzo di codice, che faccio? Vado avanti nella speranza che non mi capiti mai di trovare la backdoor? Perchè se alla fine la trovo a quel punto mi mangio le mani pensando a quanti dati mi sono scappati fino a quel momento!

> C'e` poi il problema di essere sicuri che l'eseguibile che si 
> utilizza e` stato proprio generato da quel sorgente, che non 
> e` banale, e, andando ancora piu` per il sottile, con quale 
> compilatore e` stato compilato? Se non ho il sorgente del 
> compilatore sono negli stessi problemi di prima.

Questo è verissimo. Infatti io ho parlato nel report della commissione anche del problema della tracciabilità e non solo dell'avere il sorgente. Ma questo è un problema che ribalterei sui fornitori: vuoi vendermi software su licenza? Benissimo, dammi strumenti credibili che mi permettano di fare le verifiche che voglio fare. Credo che Microsoft su questo fronte sia molto avanti. Più di IBM che dei propri software proprietari nulla dice. Vi ricordo che TUTTE le nostre informazioni critiche sono su mainframe IBM, non sotto Windows!

Ciao,

Alfonso

More information about the discussioni mailing list