[Discussioni]convegno open source e PA

[Paolo Mascellani]

Salve,

> > 1 - le applicazioni "custom" sono di proprieta` della PA che
> > le ha sviluppate/fatte sviluppare, quindi sono "piu`" che
> > Open Source. Dal mio punto di vista, invece, essere di
> > proprieta` della PA e` essere "meno"
> > che OS, in quanto si preclude la possibilita` che terzi migliorino
> > (gratuitamente) l'applicazione e la rendano ad esempio
> > appetibile anche per altre PA o, perche' no, per privati. In
> > sostanza si preclude quel "circolo virtuoso" che e` uno degli
> > aspetti piu` interessanti del software libero.
> 
> Vediamo se riesco a spiegarmi meglio.

Forse sono io che mi sono spiegato male.

> La PA non è una azienda: è una struttura 
> pubblica. Se il codice è della PA, essa può decidere di fare quello che vuole 
> nell'interesse della sua missione che è servire I cittadini e perseguire I propri 
> scopi istituzionali. Può renderlo GPL oppure addirittura di dominio pubblico. Per 
> questo dico che è di più. Il pieno possesso da parte della PA rende possibile 
> tutti I livelli di apertura che si ritiene necessari e utili.

Appunto: io credo che sarebbe di gran lunga opportuno che la PA in
questione decidesse di fare qualcosa in piu`: rendere GPL (o similare)
la sua bella applicazione custom. Tutte le obiezioni che ho sentito a
questo proposito dicono solo che questo non basta a garantire che il
codice venga riutilizzato (cosa che concedo volentieri), ma nessuna
porta qualche controindicazione.

> Chi ha detto che se è pubblica "si preclude la possibilita` che terzi migliorino 
> (gratuitamente) l'applicazione"? Io vedo la proprietà piena da parte della PA 
> (cioè del "pubblico") come la precondizione per poi perseguire la strategia di 
> dissemination che si ritiene più utile. "Se è mia (ente pubblico, non privato!) 
> ci faccio ciò che voglio".

Io ho detto che "si preclude ..." se NON lo si rilascia con una licenza
aperta.

Secondo quanto abbiamo convenuto (che e` un'ivvieta`), il software
custom realizzato o fatto realizzare da una PA (ma e` lo stesso anche
per un privato; non capisco perche' insistere sulla differenza) e` della
PA, quindi non si tratta di una precondizione: e` un fatto e basta. Poi
c'e` la scelta di cosa farne.

> Facciamo un esempio ...
> 
> Per di più, se io PA commissiono un software custom e non dico che è mio sono 
> pure fesso visto che lo pago. Che gli chiedo nel contratto: che sia GPL? E perchè 
> devo rinunciare io struttura pubblica ad avere la piena proprietà di ciò che 
> pago? E se poi anzicchè GPL lo volessi rendere totalmente di pubblico dominio?

Ma scusa; a chi stai rispondendo? Finiamola con questa storia: il
software in questione e` della PA in questione. Detto questo, credo che
sarebbe una buona cosa se la PA in questione lo rilasciasse come
software libero.

Se invece lo vuole rendere totalmente di pubblico dominio, che lo
faccia, ma a mio avviso e` meglio una soluzione tipo GPL.

> > 2 - per conoscere esattamente cosa fa un programma (quindi
> > evitare backdoor eccetera), non e` necessario che sia
> > liberamente utilizzabile e modificabile, ma basta che il
> > sorgente sia aperto (che e` cosa diversa da Open Source).
> > Ora, questo e` vero solo in linea di principio, ma, all'atto
> > pratico le cose vanno diversamente: chi mai si studia
> > migliaia di linee di codice solo per il gusto di sapere se un
> > programma fa quello che dice di fare? Invece, c'e` chi lo fa
> > (magari solo le 1000 che gli
> > interessano) perche' deve risolvere un problema analogo o
> > perche' gli interessa fare una modifica ... In questo modo,
> > col tempo, si arriva ad una revisione (quasi) completa del
> > codice che da molte piu` garanzie di una revisione fatta con
> > questo semplice scopo.
> 
> Non capisco. Se il codice fosse free non ci sarebbe lo stesso il problema? "chi 
> mai si studia migliaia di linee di codice solo per il gusto di sapere se un 
> programma fa quello che dice di fare"? Se il problema è che la PA sia tutelata, 
> quella che dico io è una soluzione. Tu dici che in pratica uno può fare una 
> revisione mentre fa le estensioni. Ma allora la mia tutela va a farsi friggere.

Puo` darsi che parliamo lingue diverse, ma io ci riprovo: credo che
possiamo convenire che la sicurezza assoluta non esiste. Esistono pero`
diversi gradi di sicurezza: per quanto mi riguarda, il teorema di
Pitagora e` piu` sicuro dell'ultimo teorema di Fermat, per almeno due
motivi:

1 - e` stato "esposto" all'analisi di molte piu` persone per molto piu`
tempo;

2 - ha diverse dimostrazioni, tutte piuttosto semplici, tra loro
indipendenti, trovate da persone diverse in tempi diversi.

Con tutto questo, nessuno ci assicura veramente (anche se considererei
pazzo chi lo credesse) che in tutte queste dimostrazioni non ci sia un
baco e che, in realta`, il teorema di Pitagora sia sbagliato.

Tutto questo rigiro per dire che, per avere una ragionevole sicurezza
che non ci siano backdoor (e' solo un esempio, lo stesso vale per altri
problemi) in un programma non banale, bisogna che il sorgente sia
"esposto" da tempo all'analisi indipendente di tante persone. Ma come
convincere tante persone a studiare un codice complesso? Secondo me una
molla molto potente, probabilmente non l'unica, e` la possibilita` di
utilizzare quel codice per fare altro o per fare meglio le stesse cose.

> Se in IBM CICS (facciamo un esempio veramente critico) metto una backdoor che 
> ridirige tutti I dati dall'anagrafe tributaria italiana all'IRS americano, e non 
> mi capita mai di andare a mettere le mani su quel pezzo di codice, che faccio? 
> Vado avanti nella speranza che non mi capiti mai di trovare la backdoor? Perchè 
> se alla fine la trovo a quel punto mi mangio le mani pensando a quanti dati mi 
> sono scappati fino a quel momento!

Non capisco l'implicazione rispetto al discorso precedente. Dal mio
punto di vista (sono stato programmatore CICS e questo mi basterebbe per
augurarmene la distruzione bit a bit), questo significa solo che, se
sono veramente interessato alla sicurezza, il CICS lo butto via (ok,
daccordo, e` estremistico, so cosa sono gli investimenti, ma e` solo per
dire dove mi porta questo ragionamento).

> > C'e` poi il problema di essere sicuri che l'eseguibile che si
> > utilizza e` stato proprio generato da quel sorgente, che non
> > e` banale, e, andando ancora piu` per il sottile, con quale
> > compilatore e` stato compilato? Se non ho il sorgente del
> > compilatore sono negli stessi problemi di prima.
> 
> Questo è verissimo. Infatti io ho parlato nel report della commissione anche del 
> problema della tracciabilità e non solo dell'avere il sorgente. Ma questo è un 
> problema che ribalterei sui fornitori: vuoi vendermi software su licenza? 
> Benissimo, dammi strumenti credibili che mi permettano di fare le verifiche che 
> voglio fare. Credo che Microsoft su questo fronte sia molto avanti. Più di IBM 
> che dei propri software proprietari nulla dice. Vi ricordo che TUTTE le nostre 
> informazioni critiche sono su mainframe IBM, non sotto Windows!

Ora, d'accordo che siamo tutti contro la M$, ma io non ho nemmeno da
salvare l'IBM (come vecchi programmatore CICS ...). Dico solo quello che
penso (e non sempre tutto).

Saluti, Paolo.

-- 
Paolo Mascellani - paolo a elabor.homelinux.org / mascellani a unisi.it
Dipartimento di Matematica - Universita` di Siena
eLabor scrl - via G. Garibaldi 33, 56127 Pisa
tel. 050 970 363 - fax 050 313 7878
http://elabor.homelinux.org - info a elabor.homelinux.org