Immuni, abbiamo i sorgenti. E ora?

Cassandra Crossing/ L'avvenuta pubblicazione dei sorgenti di Immuni basta a tranquillizzarci?



[ZEUS News - www.zeusnews.it - 27-05-2020]

immuni

Sulle pagine di Zeus News ben due articoli sono stati dedicati da Cassandra al tema della indispensabile pubblicazione dei sorgenti di Immuni. Disclaimer: Cassandra è una, e anche non più giovanissima; se la veloce analisi fatta contenesse errori fattuali, sarà lieta di fare le debite ammende.

L'altro ieri su Github sono stati pubblicati i sorgenti di Immuni, relativi ad ambedue le versioni Android e iOS. Si tratta di cinque repository separati, che includono documentazione e file di servizio. Il tutto viene pubblicato sotto licenza Affero Gpl3. Questo per quanto attiene ai fatti.

Innanzitutto deve essere chiaro che questa pubblicazione non è una promessa mantenuta, ma un atto dovuto per legge, trattandosi di un software sviluppato per una pubblica amministrazione, oltre che un adempimento tecnicamente necessario sia come buona pratica informatica che per massimizzare le difficili possibilità di successo dell'app stessa.

Deve essere altrettanto chiaro che non si tratta di un punto di arrivo, ma del punto di partenza di un lungo cammino, che deve essere percorso nella sua interezza, pena l'inutilità di quanto iniziato con la pubblicazione dei sorgenti.

Ora alcuni dovuti e necessari commenti. La licenza sotto cui vengono rilasciati i sorgenti, Affero Gpl3, differisce dalla Gpl3 in quanto, detto in soldoni, è pensata per applicazioni di rete, e non obbliga alla pubblicazione dei sorgenti delle librerie utilizzate.

In questo contesto la sua adozione può essere ragionevole, ma è indispensabile che nella documentazione vengano elencate le librerie utilizzate e non incluse, le loro versioni e i loro titolari, ma soprattutto la documentazione tecnica delle Api (Application Programming Interface) utilizzate e l'utilizzo dettagliato che ne viene fatto nel programma.

Senza queste indicazioni quanto fornito diventa, dal punto di vista della fiducia, quasi inutile perché, pensando "andreottianamente", basterebbe segregare un eventuale codice che si voglia nascondere in una libreria affidata a un altro titolare per poter inserire nell'app qualsiasi funzionalità "diabolica". In più si tratta di documentazione utile agli sviluppatori stessi, sia che debbano manutenere e sviluppare il codice, sia che debbano verificarlo.

Un altro punto essenziale è permettere, o almeno agevolare, la riproducibilità binaria dell'applicazione; qui una nota davvero dolente perché le informazioni e gli script che lo permetterebbero non sembrano inclusi in quanto a oggi rilasciato.

Anche il modulo di documentazione è molto scarno e non contiene tracciati record: è molto preliminare, certamente non adeguato a un'app che, per quanto comunicato, sta per essere rilasciata. Last but not least, manca tutto il codice della parte server, come codice sorgente che (almeno) come descrizione funzionale e di scambio di dati dell'applicazione client/server complessiva.

Ora, come già detto, siamo all'inizio di un percorso; da oggi dovremo vedere, quasi con frequenza quotidiana, commit a getto continuo, specifiche che diventano complete, rilasci di ulteriori file e moduli e così via. Se questo non accadrà, e anche Cassandra spera sinceramente che accada, tutto il circolo virtuoso di verifica indipendente, segnalazione di bug e aumento della sicurezza e della fiducia complessiva, ora appena iniziato, si fermerà inesorabilmente, e quanto fatto ieri si ridurrà a un'operazione poco più che di facciata.

Una speranza in più a Cassandra viene, quasi paradossalmente, dal documento del Copasir, il Comitato parlamentare per la sicurezza della Repubblica, presieduto da Raffaele Volpi, che appare, pur nella sua sinteticità, ben orientato sia da un punto di vista tecnico che di problematiche segnalate; sembra davvero un buon lavoro.

Se il Governo intende davvero muoversi su linee di trasparenza e di buona pratica informatica, certamente vedremo presto avverarsi molti degli auspici di Cassandra.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 8)

Se si ragiona in questi termini anche Android Ŕ bacato, anche iOS Ŕ bacato, anche FB Ŕ bacato e, se vuoi continuo all'infinito. Non esiste un software che non sia bacato e che non possa essere penetrato da chiunque abbia capacitÓ, mezzi e volontÓ per farlo, ricordo che il dispositivo informatico pi¨ sicuro Ŕ quello non collegato in... Leggi tutto
14-6-2020 11:55

Mi sento di appoggiare in toto queste considerazioni, poi il futuro ci dirÓ se sono veramente molto stupidi o solo dei cioccapiatti... oppure se sono integerrimi professionisti. Leggi tutto
14-6-2020 11:50

Il Bluetooth ha sicuramente delle falle, alcune giÓ scoperte altre no, come tutti gli standard comunicazione. Per˛ il particolare protocollo BLE usato da Immuni (o meglio dal modulo Android recentemente installato da Google sulla maggior parte dei cell) non fa uso di autenticazioni e non richiede il pairing perchÚ non c'Ŕ nessun dato... Leggi tutto
11-6-2020 19:23

Nessuna. Lo hanno fatto per correttezza. Leggi tutto
11-6-2020 09:20

{Raydroid}
Il codice è il minore dei problemi. Il grosso problema è cosa usa per funzionare: il Bluetooth. Un protocollo bacato concettualmente a cui cui non vi è rimedio per evitare che un malintenzionato possa entrare. Unico rimedio è tenerlo spento il più possibile quando non è necessario. Ora questa... Leggi tutto
31-5-2020 21:08

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Pensi che i bitcoin possano funzionare come valuta?
Certamente! Ci ho anche investito.
Sý, purchÚ vengano sottoposti a regolamentazione.
Forse in futuro.
No.
Non ho ancora capito che cosa sia un bitcoin esattamente.

Mostra i risultati (2483 voti)
Giugno 2023
Pirati del web in lutto: Rarbg chiude per sempre
Venti di tecnocontrollo in Spagna
Maggio 2023
Stack Overflow è la prima vittima della IA
WhatsApp, ora i messaggi si possono modificare dopo l'invio
HP e l'aggiornamento che rende inutilizzabili le stampanti
Windows 10 21H2, aggiornamento forzato in vista
Google Chrome dirà addio al lucchetto da settembre
WhatsApp accede di nascosto al microfono. Solo un bug di Android?
Western Digital agli utenti: gli hacker hanno i vostri dati
Il “Padrino della IA” lascia Google per avvertire il mondo dei pericoli
Aprile 2023
WhatsApp introduce il supporto a più smartphone
La UE metterà il naso negli algoritmi dei giganti del web
Con la vendita della Rete TIM avremo le tariffe più alte
Windows 11 in versione live
Western Digital violata, sottratti 10 Tbyte di dati
Tutti gli Arretrati
Accadde oggi - 5 giugno


web metrics