Enterprise Open Source (e rischi di adozione)

interpreta interagisce innova istruisce informa le TECNOLOGIE sul mercato con il CLIENTE i PROCESSI tecnologici del cliente con percorsi di SKILL TRANSFER con MOKABYTE.it Enterprise Open Source (e rischi di adozione) Claudio Bergamini cbergamini@imolinfo.it Raffaele Spazzoli rspazzoli@imolinfo.it 1

Agenda 1. Introduzione all'open Source 2. Rischi connessi all'adozione 3. Gli aspetti di sicurezza 4. La realta' dei Vendor e l'open Source 2

Definiamo i termini Software come Proprieta' Intellettuale Software proprietario Software Open Source Freeware 3

Vantaggi del Software proprietario Indennita' per violazioni Manutenzione e supporto Non serve uno staff che sappia cosa e' l' Open Source Diritti se: Media difettosi Il software contiene virus, backdoor, etc. Il software si puo' provare che ha fallito nei requisiti scritti funzionali o tecnici 4

Svantaggi del Software proprietario Costo di licenza e di bundling dei prodotti Il prodotto non si puo' variare e migliorare Spesso non sono costruiti sugli standard, portando a problemi di interoperabilita' e di dipendenze Se non c'e' sviluppo o scambio di informazioni posso solo abbandonare Spesso il codice proprietario non ha la qualita' dei prodotti Open Source corrispondenti 5

Vantaggi del Software Open Source Il prezzo della licenza e' nullo o basso Il codice sorgente ed il permesso di fare miglioramenti e modifiche Accesso alla comunita' degli sviluppatori Open Source, che puo' essere molto attiva Continui miglioramenti e sviluppo intenso Quasi sempre basati su standard aperti, per cui interoperabili con altri sistemi aperti standard 6

Svantaggi del Software Open Source Indennita': se qualcuno reclama che il licenziatario sta usando codice che una terza parte ha sviluppato, il licenziatario si deve difendere legalmente e ha danni di immagine Manutenzione e supporto se non acquistati a parte Nessuna garanzia su difetti, virus, performance Lo staff deve avere una cultura di cosa sia l'open Source Le licenze non sono standard e vanno esaminate una per una 7

The Free Software Definition 4 tipi di Liberta' per gli utenti del software 1) The freedom to run the program, for any purpose. 2) The freedom to study how the program works, and adapt it to your needs. 3) The freedom to redistribute copies so you can help your neighbor. 4) The freedom to improve the program, and release your improvements (and modified versions in general) to the public, so that the whole community benefits. Access to the source code is a precondition for 2 and 4. 8

Il mondo Open Source L'Open Source ha molte dimensioni: La proprietà intellettuale Il modello di business L'approccio allo sviluppo La collaborazione e la competizione Il concetto di software libero 9

I criteri chiave di adozione La diffusione La dimensione della comunita' Il tipo di progetto (sponsor, community,..) Il target: individuale o enterprise Il tipo di licenza 10

Aree coperte dal Software Open Source Sistemi operativi Linux OpenSolaris FreeBSD Symbian Applicazioni Di tipo infrastrutturale (Apache, Glassfish, Jboss,...) Middleware (ERP, SugarCRM,..) Tool tecnici (Eclipse, Ant, Junit...) Tool di Sicurezza SNORT (IDS) NMAP (Security Scanner) OpenSSL, OpenSSO 11

Applicazioni di tipo Infrastrutturale categoria OSS descrizione HTTP/Web Server Apache, Tomcat Application Server JBoss, Glassfish Database MySQL, PostgreSQL Portal Liferay rende uniforme l'accesso ai dati aziendali ed a risorse esterne File sharing Samba permette la condivisione di file e stampanti Mobile syncing Funambol Email e sincronizzazione agenda per cellulari/palmari VoIP Asterisk software PBX AS J2EE 12

Web Server attivi 2000-2007 Ricerca Netcraft, Aprile 2007 Market share Web Server attraverso tutti i domini 13

Middleware categoria OSS descrizione ESB OpenESB, ServiceMix, Mule, Petals Integration middleware ECM Alfresco Framework di gestione documentale ERP Compiere ERP, OpenBravo Applicazioni gestionali CRM SugarCRM community edition Customer Relationship Management BI Pentaho, Mondrian piattaforma di Business Intelligence 14

Tool tecnici categoria OSS descrizione IDE Eclipse, NetBeans ambiente di sviluppo Build tools/ Continuos integration Ant, Maven, CruiseControl strumenti per la build, gestione delle dipendenze, deploy Testing tools Junit, Selenium strumenti per il test Modeling tools NetBeansUML, ArgoUML strumenti per analisi e design Bug tracking tools Bugzilla, Trac strumenti per la gestione dei progetti e dei bug Versioning tools CVS, SubVersion strumenti per il versionamento 15

Frameworks Categoria OSS descrizione Presentation framework Struts, Spring, Cocoon, Tapestry ORM framework Hibernate, Cayenne 16

Tool di sicurezza categoria OSS descrizione Network intrusion detection Snort, OSSEC, Bro programma per rilevare i tentativi di intrusione Security scanning Nessus, NMAP programma per analizzare da remoto la vulnerabilità dei pc SSL OpenSSL secure socket layer e transport layer security VPN OpenVPN Virtual Private Network OS IAM OpenIAM Identity and access management 17

OS e l'enterprise Il software OS è pronto per l'ambiente enterprise? Tomcat, JBoss, Eclipse, NetBeans, MySQL, Spring, Hibernate, OpenESB,... hanno dimostrato che i progetti OS possono produrre software per l'enterprise Es. LAMP (Linux-Apache-MySQL-PHP/Python/Perl) 18

Criteri di selezione 19

OS e l'enterprise 20

Rischi connessi all'adozione Le licenze Le garanzie nel tempo Il supporto I servizi Le implementazioni 22

Le licenze Il software OS non è privo di licenza! Le licenze OS possono essere raggruppate nelle seguenti famiglie: General Public Licenses (GPL, LGPL) Academic Licenses (Berkeley, MIT e Apache) Corporate Licenses (Mozilla, Eclipse) 23

Riepilogo delle caratteristiche 24

Il Supporto ed i Servizi La preoccupazione principale delle aziende che usano software OS è la disponibilità dei servizi e il supporto per l'open Source Esistono aziende specializzate nel supporto di stack di prodotti Open Source I vendor offrono in modo piu' o meno convincente: Servizi (implementazione, supporto) Formazione sui prodotti 25

Implementazione Open Source: Contratto The Parties acknowledge that the purpose of this Agreement is to contribute and publish the appropriate portions of the Deliverables to the open source communities under appropriate Open Source Initiative (OSI) certified open source licenses. The parties shall specify in the Project Plan both the portions of Deliverables to be so published and the license to be applied. Without limiting other provisions of this Agreement, the Developer agrees to use reasonable efforts to promptly provide bug-fixes and/or otherwise solve any errorreports from the participants of the relevant open source community regarding such Deliverables, which are published to open source communities in accordance with this Agreement. It is explicitely stated that the section 8.Intellectual Property Rights of the APPENDIX 3 shall not apply, because the Developer will contribute the development to the Open Source project to which XXXXX is currently part of. 26

Rischi e benefici di sviluppare su Open Source Rischio Mitigazione Benefici Licenze Obbligo di rilascio del codice derivato Controllo dei termini delle licenze di tutti i componenti Accesso al codice sorgente Contratti Maggiore rilevanza delle responsabilità legali Gestione dei contratti e revisione delle licenze Protezione dei diritti degli utenti e degli sviluppatori Manutenzion e Difficoltà nel Monitoraggio reperire tutte le delle componenti componenti per tutela legale e di sicurezza Condizioni competitive per il supporto del codice Rischio Benefici Mitigazione 27

Aspetti di sicurezza Codice aperto: + o sicuro Applicazioni di sicurezza vs. prodotti commerciali I prodotti di sicurezza I servizi di sicurezza 29

Codice aperto + o sicuro: il caso Borland's InterBase server Tra il 1992 e il 1994, Borland inseri' una ``back door'' intenzionale nel loro database server InterBase ''This back door allowed any local or remote user to manipulate any database object and install arbitrary programs, and in some cases could lead to controlling the machine as root''. Questa vulnerabilita' e' rimasta nel prodotto per oltre 6 anni, perche' Borland non aveva alcun incentivo a rimuoverla. In Luglio 2000 Borland ha rilasciato il codice sorgente. Il progetto"firebird" scopri' il serio problema di sicurezza in Dicembre 2000, ed il CERT lo ha pubblicato in Gennaio 2001:CERT advisory CA-2001-01. E' stato fissato il mese successivo. 30

Gli studi quantitativi IBM Internet Security Systems' X-Force R&D team Report on cyber attacks on Sept. 17, 2007 Top five vulnerable vendors (accounted for 12.6 of all disclosed vulnerabilities in the first half of the year or 411 of 3,272 vulnerabilities disclosed). Microsoft, 4.2 % Apple, 3 % Oracle, 2 % Cisco Systems, 1.9 % Sun Microsystems, 1.5 % IBM, 1.3 % Mozilla, 1.3 % XOOPS, 1.2 % BEA, 1.1 % Linux kernel, 0.9 % 31

Gli studi quantitativi Sempre sul Report si dice che: 21 percent of vulnerabilities disclosed by the top 5 vendors remain unpatched up from a year ago While that might seem alarming, it's notable that 60 percent of vulnerabilities from all other vendors found in the first half of the year remained unaddressed. The vast majority 90 percent of the 3,273 vulnerabilities reported in the first half of the year can be exploited remotely. And more than half 51.6 percent of the vulnerabilities found would give an attacker access to the host after exploitation. Attrition.org http://attrition.org/errata/statistics/stats-50.html 32

Vendor e Open Source Copyright www.heritage-history.com 34

Perche' i Vendor si interessano di Open Source Open source provides an excellent way to allow the community to contribute, thereby naturally helping these tools evolve in the way the user community desires, while enhancing their value in support of the product which is important to IBM. This can effectively shorten the need-implement-use loop, compared with what it might be with the conventional product cycle. The Eclipse open source project, with its affiliated eclipse.org governance body, has provided a very successful model for this kind of effort and is further discussed later. Capek, Frank, Gerdt, Shields A history of IBM's Open Source involvement and strategy IBM Systen Journal Vol. 44, 2005 35

SUN's Open Source strategic goals...sun recognizes that the way software is written and distributed has changed forever Open Source is About Sharing: Ideas, Code, Innovation In Sun's view, open source is the ideal development and business model for today's massively connected, Participation Age economy. The open source model offers liberties to every user and developer that encourage genuinely collaborative innovation. Open source software can lower customer barriers to: access, switching costs, and greater value achieved in an environment that allows for increased participation and competition. Companies gain compensation for their innovations by building on the contributions of others. 36

ORACLE's Open Source strategic goals Oracle is committed to developing, supporting, and promoting Open Source. Oracle has been, and continues to be, committed to offering choice, flexibility, and a lower cost of computing for end users. By investing significant resources in developing, testing, optimizing and supporting open source technologies such as Linux, PHP, Apache, Eclipse, Berkeley DB, and InnoDB, Oracle is clearly embracing and offering open source solutions as a viable choice for development and deployment. Today, many customers are using Oracle and supported open source technologies in mission-critical environments and are reaping the benefits of lower costs, easier manageability, higher availability, and reliability along with performance and scalability advantages. 37

Inclusione e implementazione di prodotti Open Source IBM Webshere Application Server costruito su Apache Http Server IBM Webshere Portal Server include Apache JetSpeed IBM Websphere Studio Application Developer include Eclipse e Ant Sun Microsystem jcaps include OpenESB, Glassfish e NetBeans Etc. Gartner dice (2007): commercial software will include Open Source 38

Le iniziative sui servizi in Italia.. e non solo 39

Grazie per l'attenzione Imola Informatica www.imolinfo.it (also english version) MokaByte www.mokabyte.it www.mokabyte-swp.com SensibleLogic www.sensiblelogic.com 40