Vaultinum / Blog / Riduci il rischio di investimento: scansione delle vulnerabilità Open Source

Riduci il rischio di investimento: scansione delle vulnerabilità Open Source

Tempo di lettura: 5 min

Aggiornato il 21 Aprile 2026

In tutta Europa, stiamo assistendo a livelli sorprendenti di crescita nel settore tecnologico, grazie ai decisori aziendali che danno sempre più priorità a questo settore per i loro investimenti. Infatti, il Regno Unito è uno dei soli tre paesi al mondo ad aver creato più di 100 unicorni tecnologici (1) – aziende private valutate oltre 1 miliardo di dollari. Questo significa che non c'è momento migliore di oggi per investitori e aziende per fermarsi e riconsiderare il proprio approccio quando si tratta di ridurre il rischio di investimento nelle operazioni tecnologiche. Quando si tratta di prevenzione del rischio, è prassi comune che gli investitori concentrino i loro sforzi su aspetti finanziari, legali e operativi durante i loro processi di due diligence, ma lasciano molto a desiderare quando si tratta di proteggersi dai rischi software. Dato che il software è una risorsa primaria di quasi ogni investimento nel settore tecnologico, questo è un ambito di interesse che dovrebbe essere molto più prioritario per gli investitori nel loro processo complessivo di due diligence. Più spesso che no, quando viene eseguita la due diligence tecnologica, tende a essere implementata manualmente da non esperti, il che porta a un'analisi tutt'altro che esaustiva. Di conseguenza, manca una valutazione approfondita dell'uso del software open source da parte dell'azienda, il che può comportare rischi significativi. In questo articolo, illustreremo esattamente come una gestione inadeguata delle vulnerabilità open source possa mettere a rischio i tuoi investimenti e come gli investitori possano mitigare questi rischi nel modo più efficiente: utilizzando uno scanner di vulnerabilità open source.

Riduci il rischio di investimento: scansione delle vulnerabilità open source

Sommario

Quindi, cos’è il Software Open Source?

Restrizioni sulle licenze di proprietà intellettuale: una minaccia per i tuoi investimenti?

Violazione del copyright software – Hancom Office

Parliamo delle licenze di software open source

Come migliorare la gestione delle vulnerabilità Open Source.

Scanner di vulnerabilità Open Source di Vaultinum

Punti chiave

Gli investitori spesso trascurano i rischi software durante la due diligence, nonostante il software sia un asset primario negli investimenti tecnologici, portando a valutazioni del rischio incomplete.
Il software open source è ampiamente utilizzato e vantaggioso per la velocità di sviluppo, l’efficienza dei costi e il supporto della comunità, ma richiede una corretta gestione delle vulnerabilità.
Le licenze open source restrittive, in particolare quelle copyleft come la GNU GPL, possono imporre obblighi che compromettono la proprietà intellettuale di un’azienda.
Il mancato rispetto dei termini di licenza open source può portare a danni legali, finanziari e reputazionali, come illustrato dal caso Hancom.
Una mitigazione efficace del rischio richiede un monitoraggio continuo dell’uso open source e un’analisi approfondita dei vincoli di licenza in tutta la base di codice.
L’utilizzo di uno scanner di vulnerabilità open source combinato con una revisione degli esperti consente un’analisi completa del codice, l’identificazione dei rischi e decisioni di investimento informate.

Quindi, cos’è il Software Open Source?

Il software open source è un software che gli sviluppatori possono ispezionare, copiare, modificare e ridistribuire. Questo è diverso dal software applicativo, che è progettato per gli utenti finali e non permette agli sviluppatori di adattarlo in alcun modo (come Skype o la suite Microsoft).

Una parte fondamentale della comunità open source riguarda il modo in cui opera su valori condivisi quando si tratta di collaborazione, ed è proprio grazie a questi valori che il popolare sito di sviluppo software GitHub ha registrato un aumento del 35% nel numero di repository di codice creati nel 2020 rispetto all’anno precedente. La realtà è che l’uso di software open source può quasi essere considerato una necessità per gli sviluppatori ai giorni nostri, poiché uno sviluppo rapido è essenziale affinché le aziende possano aumentare la quota di mercato e ottenere un vantaggio competitivo.

Per ragioni come queste, ci sono molti vantaggi nell’integrare codice open source all’interno dei repository di codice del software commerciale, quindi ribadisciamo che certamente non dovrebbe essere visto con paura da leader aziendali e investitori. Per cominciare, il codice open source è meno probabile che diventi obsoleto rispetto a quello sviluppato internamente, poiché gli sviluppatori possono sempre contare sul supporto della comunità open source fortemente connessa per quanto riguarda la necessità di aggiornamenti o correzioni di bug. Quella stessa comunità può anche permettere alle organizzazioni di superare le difficoltà di assumere e risparmiare denaro, poiché possono sempre collaborare con sviluppatori open source come alternativa.

Ma c’è un problema: gli investitori non potranno sfruttare questi vantaggi a lungo termine se la gestione delle vulnerabilità open source non è sufficientemente approfondita – cosa che spesso accade.

Restrizioni sulle licenze di proprietà intellettuale: una minaccia per i tuoi investimenti?

Le licenze open source possono essere complesse, ma guardando al lato della proprietà intellettuale, gli investitori devono essere particolarmente consapevoli delle licenze altamente restrittive che possono comportare determinati codici. Le licenze copyleft, o ‘non permissive’, richiedono che la ridistribuzione del software avvenga secondo gli stessi termini indicati nella licenza open source originale. La licenza copyleft più comunemente utilizzata a cui bisogna prestare attenzione è la GNU General Public License (GPL).

Questa licenza è considerata copyleft molto forte quanto si applica alle modifiche apportate al codice open source originariamente concesso in licenza sotto la GPL e anche a qualsiasi opera che poi derivi dal codice GPL. Di conseguenza, anche se uno sviluppatore utilizza poche righe di questo codice GPL, significa che l’intera sua base di codice è quindi vincolata dai termini GPL. Se le organizzazioni scelgono di utilizzare codice vincolato da licenze restrittive come la GNU GPL, devono farlo con la consapevolezza che la loro proprietà intellettuale potrebbe effettivamente essere a rischio.

Violazione del copyright software – Hancom Office

Nel 2013, hanno integrato un interprete PDF open source chiamato Ghostscript nel loro software di elaborazione testi. A insaputa di Hancom, Ghostscript era vincolato dalla GNU GPL, quindi secondo i termini della licenza Hancom avrebbe dovuto rendere open source l’intera suite di app e di fatto perdere i diritti di proprietà intellettuale. Hancom non ha fornito il codice sorgente del loro prodotto (e non ha scelto di acquistare una licenza commerciale), il che li ha messi in conflitto con la licenza con cui viene distribuito Ghostscript.)

Nel 2017 Artifex ha intentato una causa (2), che ha portato alla sentenza del Tribunale Distrettuale degli Stati Uniti a favore di Artifex (3). I termini esatti di questo accordo ovviamente rimangono riservati, ma è lecito supporre che Hancom abbia sofferto significativamente in termini di finanza, reputazione e diritti di proprietà intellettuale. Se avessero utilizzato uno scanner di vulnerabilità open source prima dell’implementazione, ciò sarebbe stato segnalato e la situazione avrebbe potuto essere evitata.

Parliamo delle licenze di software open source

Anche quando non è rigida come la GNU GPL, tutte le licenze open source devono essere attentamente riviste dalle aziende, affinché siano pienamente consapevoli delle restrizioni a cui devono rispettare. Tutte le licenze open source condividono principi comuni inseriti nelle ‘libertà essenziali’ del movimento open source, cioè sono libere di utilizzare, gestire, studiare, modificare e ridistribuire software open source per qualsiasi scopo. Ma ci sono così tanti tipi diversi di licenze in circolazione, quindi un software open source può essere molto diverso da un altro.

A differenza della copyleft cartacea della licenza GNU GPL, esistono anche licenze permissive come la licenza BSD, la licenza MIT e la Apache Licence v2.0. Queste licenze mantengono le ‘libertà essenziali’ della comunità open source, ma non richiedono che queste vengano rispettate nelle opere derivate. Ciò significa che con una licenza permissiva, gli sviluppatori sono liberi di integrare il software open source nel loro codice più ampio senza alcuna conseguenza e possono distribuire l’intero software sotto termini di licenza separati – cosa che non è possibile con licenze più restrittive.

A causa della grande varietà di licenze open source disponibili, è prassi comune che le aziende monitorino e valutino continuamente i vari codici open source utilizzati dai loro sviluppatori, come parte della gestione delle vulnerabilità open source, per evitare problemi indesiderati di non conformità.

Come migliorare la gestione delle vulnerabilità Open Source.

Nella fase pre-acquisizione gli investitori devono assicurarsi di implementare una due diligence software completa che includa un’analisi delle restrizioni di licenza open source associate a un software. Gli audit più approfonditi tendono a utilizzare uno scanner di vulnerabilità open source, in grado di scansionare ogni riga di codice, combinato con una revisione da parte di esperti, per garantire che qualsiasi uso di software open source venga identificato e valutato di conseguenza.

Scanner di vulnerabilità Open Source di Vaultinum

La Know Your Software Tech Due Diligence di Vaultinum offre una scansione del codice sorgente che funge da scanner di vulnerabilità open source. Questo esamina sia il codice stesso sia i processi operativi e di sviluppo interni dell’azienda (come la loro strategia di gestione open source) al fine di ridurre ed evitare eventuali rischi futuri.

In secondo luogo, gli utenti ricevono anche una serie di questionari auto-auditanti che offrono valutazioni su Cybersecurity, Proprietà Intellettuale, Operazioni e Software di Terze Parti.

I risultati della valutazione online e dell’audit del codice vengono poi esaminati dai nostri esperti IT, che adattano le raccomandazioni al contesto aziendale. Il rapporto include risultati chiari, illustrazioni, una stima del tempo di riparazione.

Parla con noi oggi stesso e scopri di più su come la Due Diligence Know Your Software Tech di Vautinum aiuti gli investitori nella gestione delle vulnerabilità open source, offrendo loro la sicurezza necessaria per prendere decisioni informate.

(1) https://technation.io/news/tech-unicorns-don’t-appear-by-magic

(2) https://bit.ly/3IcaDd3

(3) https://www.linux.com/topic/open-source/artifex-v-hancom-open-source-now-enforceable-contract

Informazioni sull'autore, Kristin A.

Kristin è un'avvocata statunitense abilitata, specializzata nei settori della proprietà intellettuale e del diritto delle tecnologie. È membro dei comitati strategico e legale di Vaultinum, incaricati di supervisionare e attuare le politiche e le procedure relative alla protezione dei beni digitali.

Riduci il rischio di investimento: scansione delle vulnerabilità Open Source

Quindi, cos’è il Software Open Source?

Restrizioni sulle licenze di proprietà intellettuale: una minaccia per i tuoi investimenti?

Violazione del copyright software – Hancom Office

Parliamo delle licenze di software open source

Come migliorare la gestione delle vulnerabilità Open Source.

Scanner di vulnerabilità Open Source di Vaultinum

Altri articoli consigliati per te

Le aziende rivalutano la loro posizione ambientale con l’incombere di nuove e severe normative

Come eseguire una Due Diligence Tecnologica su una società di software: una guida per professionisti legali e tecnici

I 4 principali rischi tecnologici rivelati da una Due Diligence Tecnologica