Come evitare i rischi delle licenze open source?

Definizione della licenza open source per una migliore comprensione del concetto

Definizione della licenza open source per una migliore comprensione del concetto

Per definizione, il software open source è un programma il cui codice è aperto, al contrario di un software proprietario, il cui codice è totalmente bloccato. In parole povere, il software open source è un software il cui codice sorgente viene divulgato al grande pubblico.

Esiste una differenza concettuale tra software open source e software libero. Secondo le regole stabilite da Richard Stallman, uno dei fondatori del movimento del software libero, un software è libero se soddisfa quattro criteri principali:

- la libertà di utilizzare il software senza restrizioni per tutti,

- la libertà di analizzare il funzionamento del software,

- la libertà di condividere e ridistribuire copie del software,

- la libertà di migliorare il codice sorgente a beneficio del maggior numero possibile di persone.

Le principali licenze open source

Quando si utilizza una licenza open source in un'azienda, è necessario prestare particolare attenzione al tipo di licenza che il software detiene. Ecco i 3 principali tipi di licenza open source disponibili oggi sul mercato e le loro caratteristiche principali:

Il dominio pubblico

Pubblicando un software nel dominio pubblico, il programmatore o lo sviluppatore rinunciano al copyright. Tutti sono quindi liberi di utilizzare, condividere e modificare il software. Questo è in particolare il caso della licenza CC0 (Creative Commons Zero).

La licenza permissiva

Esistono molte licenze che concedono diritti estesi agli utenti, ma senza che il licenziatario rinunci al copyright o ad altre tutele previste dalla licenza. È possibile commercializzare un software con una licenza permissiva a determinate condizioni. Inoltre, la maggior parte di questo tipo di licenze non concede una garanzia di utilizzo. Le licenze MIT e BSD rientrano nella categoria permissiva.

Copyleft

Contrariamente a quanto si potrebbe pensare, il copyleft non significa rinunciare al proprio diritto d’autore sul software. L'idea del copyleft è quella di rendere più facile la copia e la condivisione di un software, senza rinunciare ai diritti inerenti alla licenza. A seconda del grado di copyleft (debole o forte), una licenza copyleft implica che tutto o parte del codice sviluppato intorno al mattone open source soddisfi gli stessi requisiti della licenza da cui proviene l'open source. Anche i programmi derivati (fork) sono tenuti a rispettare la licenza originale. Questo è in particolare il caso della GNU GPL.

Come minimizzare i rischi legati all’utilizzo di una licenza open source?

Sempre più aziende integrano soluzioni open source nella loro struttura. Ciò vale in particolare per l'amministrazione dei server attraverso la licenza Apache o la gestione dei database. Anche CMS come Wordpress, Joomla o Prestashop, utilizzati per la progettazione di siti web, sono disponibili con licenza open source.

Migliaia di prodotti software sono oggi disponibili come open source per le aziende e offrono un costo di accesso particolarmente vantaggioso. Ecco i punti da considerare prima di implementare una soluzione open source:

Les entreprises sont de plus en plus nombreuses à intégrer les solutions open source à leur structure. C’est notamment le cas pour l’administration des serveurs à travers la licence Apache ou encore la gestion des bases de données. Les CMS comme Wordpress, Joomla ou encore Prestashop qui servent à la conception de sites web sont également disponibles sous licence libre.

Des milliers de logiciels sont aujourd’hui disponibles en open source pour les entreprises et offrent un coût d’accès particulièrement avantageux. Voici les points à considérer avant d’implanter une solution en licence open source : 

Leggere la licenza corrente

Il software che può essere scaricato gratuitamente non necessariamente è un software libero. Ad esempio, alcuni programmi non a pagamento sono proprietari e possono essere utilizzati solo in determinati contesti (uso personale, limitato alle PMI, ecc.). Per un utilizzo su larga scala, spesso è necessario pagare.

Alcuni sistemi open source operano con una doppia licenza, open source e proprietaria, come nel caso di MySQL. La mancata conoscenza delle licenze può esporvi a multe per mancato rispetto della licenza d’uso o addirittura ad azioni legali. Prima di qualsiasi nuova implementazione, è necessario prendersi il tempo necessario per leggere ogni clausola della licenza.

Prima di optare per una licenza open source, è necessario conoscere anche la licenza della documentazione e la durata del supporto tecnico. Prendendo l'esempio delle distribuzioni Ubuntu (Linux), esistono versioni LTS che beneficiano di una documentazione più estesa e di un supporto più duraturo da parte dei promotori.

Nel caso di CRM ed ERP che consentono di gestire online progetti collaborativi, la licenza varia in base al numero di utenti. Ad esempio, per ERPNext, la versione con licenza open source gratuita non include la garanzia. In caso di bug o crash che danneggiano il vostro database, dovrete provvedere voi stessi all'assistenza tecnica. Per quanto riguarda Odoo, la versione di base (fatturazione e contabilità) è gratuita, ma per i moduli aggiuntivi (HRM, gestione delle scorte, gestione di progetti multiutente, ecc.), l’accesso ai servizi è a pagamento.

È necessario effettuare una simulazione preliminare dei costi operativi reali in base alle possibilità offerte dalla licenza open source, indipendentemente dal progetto di implementazione del software

Tenere conto dei difetti del software open source

Nessun software, proprietario o open source, può pretendere di essere perfetto in termini di sicurezza. Per questo motivo vengono rilasciati regolarmente degli aggiornamenti per correggere eventuali falle che permetterebbero a malintenzionati di rubare dati o rendere inutilizzabile il software, il SaaS o il sito web.

L'80% dei programmi contiene una vulnerabilità legata all'implementazione di una soluzione open source e più del 50% è considerato ad alto rischio. Secondo uno studio di OSSRA (Open Source Security and Risk Analysis del 2022).

Nel caso dei software proprietari, la responsabilità di rilasciare una patch o un aggiornamento di sicurezza spetta ai software stessi. Al contrario, la natura collaborativa delle soluzioni open source, con licenza GNU GPL, Copyleft o MIT, affida alla comunità o alle fondazioni la responsabilità di risolvere le falle nella sicurezza. Un tempo l'accesso al codice sorgente era considerato un vantaggio, in quanto i problemi potevano essere risolti immediatamente. Al giorno d'oggi, la proliferazione delle librerie open source sta mettendo a dura prova la reattività degli sviluppatori nel rilasciare le patch. Se un software installato in azienda tarda a ricevere gli aggiornamenti necessari, sarete completamente esposti.

Considerare il fattore umano

In molti casi, sono le persone responsabili del sistema informatico e gli stessi tecnici informatici ad essere all’origine del problema di sicurezza. Infatti, a volte dimenticano di effettuare gli aggiornamenti necessari. Questo aggiornamento del programma non riguarda necessariamente il software principale, ma a volte le dipendenze che non sempre vengono monitorate.

Per ridurre al minimo i rischi di sicurezza dei software con licenza open source, si raccomanda di eseguire un test di vulnerabilità prima di installare un software open source. Successivamente, è necessario definire una chiara politica di sicurezza. Sarà necessario stabilire la frequenza degli aggiornamenti e istituire un sistema di monitoraggio per tenere il passo con le eventuali falle rilevate. L'obiettivo è garantire una sicurezza ottimale per tutta la durata di vita del software. Questo approccio è ancora più importante se l'applicazione installata svolge funzioni critiche per lo sviluppo dell'azienda.

Risposte alle vostre domande sui software open source

Che cos'è un software open source

Un software open source è un'applicazione il cui codice sorgente è aperto al pubblico. Ciò non significa che il programma sia gratuito, anche se la maggior parte delle soluzioni open source è disponibile senza costi di accesso. Per un'azienda, è essenziale comprendere la portata giuridica di una licenza per garantire l'uso senza ostacoli della soluzione scelta.

Perché usare l'open source?

Nella maggior parte dei casi, un software open source è gratuito, può essere utilizzato liberamente e offre numerose funzioni. Pertanto, riduce i costi di accesso e di gestione del sistema informatico aziendale. Tuttavia, per trarne il massimo vantaggio, è necessario prestare particolare attenzione alla sicurezza e alla natura della licenza.

Esclusione di responsabilità

Le opinioni, le presentazioni, le cifre e le stime presentate sul sito web, compreso questo blog, sono solo a scopo informativo e non devono essere interpretate come consigli legali. Per una consulenza legale, dovreste contattare un professionista legale nella vostra giurisdizione.

L'uso di qualsiasi contenuto di questo sito web, compreso questo blog, per scopi commerciali, compresa la rivendita, è vietato a meno che non si ottenga il permesso preventivo da Vaultinum. La richiesta di autorizzazione deve specificare lo scopo e la portata della riproduzione. Per scopi non commerciali, tutto il materiale di questa pubblicazione può essere liberamente citato o ristampato, ma è necessario un riconoscimento, insieme a un link a questo sito web.