I grandi sponsor di Linux diventano alfieri della crociata contro Heartbleed. Ma i danni sono enormi e mostrano una struttura instabile.
Il cut & paste di codice più o meno buono e l’idea che il volontariato abbia risorse illimitate ha portato all’allarme Heartbleed, vale a dire la vulnerabilità della funzionalità Heartbeat (da cui il nome del problema), tipica della versione open di Ssl (secure socket layer) implementata su server Linux.
Poiché la vulnerabilità è stata generata in quel definito ambito, è ragionevole che la grande iniziativa dedicata alla sua soluzione definitiva sia stata finanziata sotto il cappello della Linux Foundation.
Core Infrastructure Initiative è un progetto multimilionario, dice l’annuncio, che verrà gestito dalla Foundation con un apposito comitato che garantirà l’imparzialità.
I colossi coinvolti sono numerosi. Oltre a Microsoft, Facebook e Google, già hanno messo nome e logo anche Amazon Web Services, Cisco, Dell, Fujitsu, Ibm, Intel, Qualcomm, NetApp, RackSpace e VMware. Secondo la Reuters, ciascun fondatore dovrebbe mettere 300 mila dollari.
La gestione di Heartbleed avrà dei costi spaventosi, riferiscono alcuni osservatori. E la cosa ha dei risvolti molto, molto divertenti. Una delle toppe proposte prevede di aumentare da 22k a 4,7M la dimensione della lista di certificati revocati caricata dai browser. Il costo in banda passante è enorme, e per ciascun operatore medio-grande che acquista servizi cloud potrebbe raggiungere 1 milione di dollari al mese. Probabilmente questa soluzione non verrà adottata frequentemente e certo non con questa scala di prezzi.
Le noccioline e le fanfare
Ma l’avvenimento rende esplicito un problema strutturale dell’attuale mondo del software in rete. Se tutti e tredici i nomi indicati nell’annuncio mettessero una fee da 300 mila dollari, la cifra risultante sarebbe di 3,6 milioni di dollari. Al momento non è noto se la fee sia singola o se nel tempo siano previsti ulteriori contributi.
Ora, prima dell’esplosione di Heartbleed la fondazione che si occupava di OpenSsl riceveva libere donazione per la strabiliante cifra di duemila dollari annui, rileva sempre la Reuters.
La differenza tra due migliaia e tre milioni è spropositata e spinge a qualche riflessione.
E’ ovvio che qualunque fosse il lavoro svolto finora su OpenSsl, il suo valore era molto maggiore di duemila dollari annui.
E’ ovvio anche che lo stesso problema, con la stessa quantità di lavoro e gli stessi risultati, se posto all’interno d’una grande organizzazione e con sponsor multinazionali ha un costo moltiplicato per 50.
Il problema è un altro.
Oggi viviamo in un sistema fatto esattamente come Heartbleed ci mostra: gran parte del lavoro viene svolto da appassionati, generalmente ricompensati con noccioline, mentre il resto del mondo fa soldi basandosi su questo lavoro e sulle conseguenze che può avere sui clienti. Quando si verifica un problema, allora rumorose fanfare e tappeti rossi vengono portati ovunque, per comunicare ai clienti, alla gente, che sì, c’è stato un problema, ma che adesso ce ne stiamo occupando.
E’ molto poco.
