Microsoft ci spera. E intanto si spiega

Commissione Open source ?blindata?. Paradosso? Sarà, ma durante la XIV edizione del Forum sulla pubblica amministrazione a Roma, dal 5 al 9 maggio, non è stato infatti anticipato alcun risultato della commissione che, come si legge nella nota con cui fu istituita lo scorso ottobre, “effettuerà un?approfondita analisi delle tendenze tecnologiche e di mercato e, confrontando le posizioni in materia dell?Unione europea, dei maggiori Paesi industrializzati nonché dell?industria Ict (Information and communication technologies), fornirà a tutte le amministrazioni pubbliche gli elementi di valutazione per le scelte e le strategie riguardo il software a codice sorgente aperto”. Membri, ufficio stampa, ministero hanno rimandato il tutto a una conferenza stampa ad hoc fra qualche settimana. Perché? Semplice, la commissione non ha avuto vita facile, e sembra essere stata particolarmente contrastata. Gli interessi sono alti: in palio la commessa della pubblica amministrazione, in rischio il pluralismo dei sistemi informatici nella stessa. Da un lato Microsoft, ovvero software proprietario, accompagnato per l?occasione da una nuova licenza ideata ad hoc per i governi di tutto il mondo, ovvero il programma di sicurezza governativa (Gsp); dall?altro il mondo open source e del software libero, Gnu/Linux e le sue distribuzioni. Per questo proponiamo ai lettori di Vita un breve percorso di lettura per capire meglio, insieme ad autorevoli esponenti, cosa significhi l?eventuale scelta da parte del governo italiano di una piattaforma tecnologica piuttosto che di un?altra. In questa prima puntata, Andrea Valboni, Chief Technology Officer di Microsoft Italia. La parola passa poi, nella prossima puntata, a Gabriele Paciucci, Sales& Marketing Manager Sud Europa per Red Hat Linux. A concludere , un contributo della Free Software Foundation Italia. Precisazioni e repliche permettendo… Andrea Valboni, fiorentino, 52 anni, lunga carriera in Olivetti, dal 1998 in Microsoft dove attualmente ricopre l?incarico di Chief Technology Officer con il compito di individuare gli scenari tecnologici del futuro, in particolare nell?ambito delle università italiane e delle istituzioni. A lui il compito di fare il primo passo in questo percorso di conoscenza della grande sfida tra software proprietario e open source. Dott. Valboni, a un utente non particolarmente avezzo ai termini tecnici ci spiegherebbe cos?è il GSP? Il Government Security Program è stato istituito in questa forma da settembre dello scorso anno. E? rivolto specificatamente ai Governi, perché possano verificare il livello di sicurezza del sistema operativo di Microsoft, se lo ritengono necessario, attraverso esperti e Università. E capire se il livello di sicurezza sia adeguato alle loro esigenze, o che nel codice sorgente non vi siano parti di codice che potrebbero causare violazioni di privacy, o in termini tecnici la presenza di backdoor (un programma o software in grado di aprire una porta di comunicazione verso l?esterno all?insaputa dell?amministratore del sistema ndr). E questo avviene perché tale programma concede ai Governi che lo sottoscrivono di vedere il codice sorgente del sistema operativo. Se lei dovesse spiegare cos?è il codice sorgente di un sistema operativo cosa direbbe? Il codice sorgente è un set di istruzioni scritte dai programmatori che dovranno essere eseguite dal computer per svolgere le funzioni che normalmente un computer esegue. Come Microsoft abbiamo una serie di programmi che chiamiamo Shared Source (codice condiviso ndr), indirizzati a tipologia di utenza diversa. Pensiamo, infatti, che i programmi di condivisione del codice siano importanti. Questi nove programmi, che comprendono ad esempio il grande cliente, i System Integrator cioè coloro che costruiscono computer, o le Università, sono possibili da anni. Avevamo anche un programma per i governi. Ma non aveva niente di specifico che riconoscesse il ruolo particolare che i governi hanno; un governo eroga una serie di servizi a tutti, e gestisce i dati di tutti, e quindi dati a carattere confidenziale. Dare quindi visibilità del codice sorgente ai governi riconosce il fatto che un governo con i propri occhi o occhi terzi di propri esperti debba tutelare i cittadini. Insieme a lei, vediamo come funziona il GSP? Viene dato accesso al codice attraverso una Smart Card (esteriormente simile ad una convenzionale carta di credito. A differenza di una normale carta di credito contiene al suo interno un microchip con le funzionalità di computazione e di memorizzazione dati, ndr.)e un sito web a remoto, dove, chi ha accesso, può leggere il codice sorgente? ?quindi il governo non ha accesso al codice sorgente delle proprie macchine, ma al codice sorgente corrispondente alle piattaforme che il governo utilizza attraverso un sito? Sì, però, nel nostro caso c?è un grosso livello di allineamento fra il programma che un utente ha sul proprio computer, a partire dal sistema operativo, e il codice sorgente corrispondente a quell?eseguibile. E? molto difficile, anzi impossibile direi, che da noi si possa verificare il fatto che esistono dei sorgenti in Corporation che non abbiano generato una versione commerciale. Come a dire che non avete versioni del sistema operativo alternative a quelle in commercio. Ma la corrispondenza fra il codice sorgente che il tecnico eventuale del governo vede e l?effettiva piattaforma che il governo possiede viene certificata da qualcuno? E? chiaro che noi diamo garanzia del fatto che una determinata versione dei sorgenti abbia generato la versione eseguibile che il cliente dichiara di avere in macchina. Però, a parte le nostre dichiarazioni, in realtà si può verificare la coerenza fra le due cose, perché attraverso l?accesso remoto posso debuggare (prassi con cui si verificano i bug, gli errori di sistema, e si correggono ndr.) il codice eseguibile di una mia macchina andando a vedere sui sorgenti che ho in linea quale istruzione, in quel momento, il programma sta eseguendo. Questo meccanismo di collegamento tra il codice sorgente reso disponibile e l?effettivo eseguibile in macchina viene garantito, cioè, attraverso la corrispondenza fra un comando che si esegue sulla propria macchina e il codice sorgente online. Ulteriori informazioni al riguardo però possono essere recuperate dai colleghi del Product Support [http://www.microsoft.com/resources/sharedsource ndr.] Ci sono grandi clienti in Italia che hanno a disposizione il codice sorgente di Windows? Sì, ad esempio il Monte dei Paschi di Siena possiede il codice sorgente da quasi un anno e mezzo. Ci sono poi Università che hanno il sorgente da più di due anni, come il Politecnico di Milano o la Scuola Superiore Sant’Anna. Come si tutela Microsoft nei confronti del governo o del grande cliente perché questi non diffonda a terzi informazioni riguardo al codice sorgente? Normalmente richiediamo al momento dell?accordo un Non-Disclosure Agreement (Accordo di non divulgazione ndr.) sulle funzioni e le componenti che governo e tecnici rispettino con la massima riservatezza. Con lo stesso livello di riservatezza che abbiamo noi, quando lavoriamo su progetti governativi e veniamo a conoscenza di informazioni sensibili. Alcuni di noi, per esempio, hanno il cosiddetto “nulla osta di sicurezza” per poter lavorare su progetti governativi. Anche voi quindi avete dei tecnici dedicati, vincolati da un NDA (Non-Disclosure Agreement)? Non solo, abbiamo dovuto organizzarci al proposito, implementando processi di sicurezza, ad esempio per i documenti consegnati. Pertanto chiediamo lo stesso livello di sicurezza. Poi, è chiaro che se qualcuno vede il codice e lo porta da un’altra parte, cosa ci dobbiamo fare? Io sono per altro convinto che alcune funzionalità di Windows XP o 2000, in particolare a livello di desktop, siano state oggetto di reverse engineer (pratica di chi “smonta” i programmi per raggiungere il codice sorgente, ndr.). Non abbiamo le prove, ma è evidente. Qualche recente desktop di derivazione Linux come Lindows, risulta chiaramente sia stato copiato pari pari da Windows. Questa attività comunque va avanti. Che questo avvenga perché vedono maliziosamente il codice sorgente o per reverse engineer (pratica di chi “smonta” i programmi per raggiungere il codice sorgente, ndr.), cambia poco. Di fatto, è la conferma che non c?è una grande innovazione dall?altra parte, si tende molto ad emulare? ?sarebbe interessante sentire al proposito qualche esponente del free software? Organizzate una tavola rotonda, noi siamo disponibili… Ma se allora poco cambia perché non condividere il codice sorgente in toto? In fondo è quanto afferma consistono i progetti di Shared Code per fasce e tipologia di cliente? Microsoft concede da tempo l?accesso ai sorgenti per tipologia che però erano in prevalenza operatori di mercato. Viceversa, da due anni a questa parte, l?attenzione è stata rivolta anche verso i clienti. Questo cambiamento di passo, da gli operatori soltanto agli utenti, sicuramente è stata favorita dal crescere di interesse verso il movimento open source. Perché dal movimento open source ci sono delle cose a mio avviso discutibili, ma anche delle cose positive: ad esempio per chi fa software: poter aver delle collaborazioni sulla base della conoscenza. E cosa è discutibile? A mio avviso sono molti gli aspetti discutibili, ma uno sicuramente può essere considerato il tallone d?achille. E parlo della forma di Licencing, ovvero la GPL (General Public Licence). Inficia il diritto di tutelare la proprietà intellettuale di chi fa investimenti sul software. Non è vero quello che dicono gli esponenti dell?open source, che per poter sviluppare un modello di software sia necessario rinunciare alla proprietà intellettuale. Sono diverse le licenze adottate all?interno del mondo open source, come ad esempio Freebsd che lo dimostra. Mentre la GPL impone dei diritti dell?utente: in questo caso il possessore della proprietà intellettuale ha imposto che chi deriva software da quel programma deve comunque rinunciare all?esclusività. Si potrebbe però sostenere che è proprio grazie a questa licenza che Linux ha avuto successo? Certo, io penso però che oggi stiamo entrando nella seconda fase del fenomeno open source. Credo che si stia completando la prima ondata e stiamo entrando in una fase diversa. E? passato un po? quello che viene chiamata la fase ?hype?, ovvero di eccitazione della novità, della cosa che si presenta sul mercato, dove erano più i miti che la realtà a gestire il fenomeno: la sicurezza, la gratuità, l?affidabilità. E si sta andando verso una situazione composta da fenomeni tradizionali di concorrenza, dove certi aspetti si vanno un po? smorzando. Questo sicuramente per effetto delle società che hanno fatto dell?open source un tema di business. E quando succede questo, inevitabilmente, svanisce un po? l?effetto di movimento, e si comincia a generare un consolidamento di interessi commerciali intorno a nuclei ben precisi che ormai hanno preso la consistenza di mercato di un certo tipo. E in questo senso la decisione di Microsoft di promuovere programmi come il GSP possono essere letti come strategie di riassetto e quindi cartina tornasole del fatto che una prima fase è finita? Sicuramente sì. Noi riconosciamo nei programmi di condivisione di sorgenti e creazione di collaborazioni intorno a una condivisione dei sorgenti un fattore positivo. Da settembre dell?anno scorso si sono succeduti diversi annunci di rilasci di sorgenti a determinati target o segmenti di mercato. E alcuni, come quello legato a Visual studio, hanno destato particolare interesse. Non escludo che i vari programmi possano allargarsi verso altri segmenti di mercato. A chi vi legge in tutto ciò una chiara strategia marketing come risponde? A dire il vero questa non è un strategia marketing; la responsabilità di queste iniziative è di Craig Mundie, Vice Presidente Senior e CTO di Microsoft, che è alla fine il rappresentante massimo per quanto riguarda il programma Trustworthy computing iniziative [http://www.microsoft.com/presspass/exec/craig/ ndr]. Per stabilire un clima, un posizionamento, e quindi di essere percepiti da cittadini e governi più vicini alle loro esigenze. E? quindi più un piano di comunicazione, di collaborazione, più che di marketing finalizzato al prodotto. A proposito di governi: Cina, Russia, NATO, Gran Bretagna, sono i primi che hanno aderito. Come valuta l?adesione di due paesi ex comunisti? Mi sarei sorpreso del contrario. Essendo paesi con tradizioni molto diverse. Con la paura che l?America come super potenza possa immettere nel mercato prodotti, che possano minare la loro sicurezza come stati, non mi sorprende abbiano voluto verificare non vi fossero ?trabocchetti?. E l?Italia? Non posso dirle tantissimo, per ovvi motivi. Noi abbiamo fatto più volte una proposta. In questo momento le condizioni interne al MIT sono migliori… … MIT [Ministero dell’Innovazione delle Teconologie] di Roma, non il MIT [Massachusetts Institute of Technology]… di Boston… … Sì, sì, Ministero dell?Innovazione e Tecnologie italiano… Di cui il ministro è Lucio Stanca, ex numero eccellente di IBM, società quest’ultima che in questi anni sta promuovendo Linux. Conflitto di interessi? Ma, devo dire che con il Ministro Stanca i rapporti sono stati sempre corretti. Anche se ha istituito una commissione, presieduta dal prof. Angelo Raffaele Meo, per la valutazione dell?inserimento di software open source nella pubblica amministrazione ? passaggi dovuti? Ma, io direi di sì. Grazie a Dio che in Italia abbiano avuto il buon gusto di fare una commissione per rendere il tutto trasparente. Vedremo a fine aprile quando la Commissione redigerà il rapporto finale. Noi ci auguriamo che prevalga il valore che sta dietro all?acquisizione di una determinata tecnologia. Supponiamo quindi che l?Italia adotti il programma GSP. Supponiamo che quindi vi siano tecnici dedicati ecc.. che il governo abbia bisogno di una modifica del codice sorgente, chi interviene nella modifica? Il processo in generale funziona così: se la modifica riguarda non solo quel cliente, ma ci si aspetta che quella modifica diventi uno standard del prodotto nelle successive release, allora Microsoft se ne prende l?impegno: viene presentata la richiesta ai gruppi di sviluppo attraverso il Security Response Center, che prende in carico tutte le richieste dai governi. A questo punto la richiesta di modifica viene o accettata o viene proposta una soluzione alternativa; ma nel caso venga accettata Microsoft si prende l?impegno di consolidare tutte queste richieste nei successivi aggiornamenti. Questo per quanto riguarda un a modifica interna. Se invece viene richiesta l?estensione, l?aggiunta o la sostituzione di una funzionalità esistente con una funzionalità specifica per il governo locale ? e questo può verificarsi ad esempio per il governo italiano ? modifica che può essere effettuata senza toccare il sistema, allora in questo caso Microsoft garantisce il supporto nell?implementazione di questa funzionalità che però rimane di proprietà del governo, il quale ha tutti i diritti di installarla dove desidera. Noi dobbiamo garantire però che sia coerente con tutto il sistema, assicurandone la portabilità nei successivi rilasci del prodotto. Una volta verificato il sistema operativo e garantita la sicurezza, ci possono essere applicazioni installate dal singolo dipendente che possono creare conflitti e rendere il sistema insicuro, penso ai tanti instant messaging come Icq o Mirc? Sì, direi di sì. Il più delle volte, infatti, le vulnerabilità di sistema non sono dovute al sistema operativo in sé, quanto a software che girano come applicazioni sul sistema operativo. Ci sono però modi per evitare che questo succeda. Si abbandona però il campo della tecnologia e si entra un po? più nel campo delle policy aziendali, l?aspetto importante della sicurezza: il fattore uomo. Da cui svariate tecniche con cui è possibile impedire di installare di programmi dalla Rete, fare in modo che se uno installa un?applicazione sul proprio computer all?accensione successiva della macchina questo programma venga automaticamente cancellato; fare in modo che determinati dati vengano protetti dall?accesso di programmi non autorizzati. Mi permetta una domanda provocatoria. Per una multinazionale come Microsoft che possiede un monopolio di fatto sul mercato, e che non ultimo ha conosciuto sulla propria pelle il processo antitrust, c?è bisogno di un competitor? Se non ci fosse, ce lo inventeremmo… Ecco, per l?appunto, fino a che punto Linux è un problema per Microsoft e non è invece un vantaggio, un competitor che per altro alcune ?sparate? da parte vostra sembrano in un qualche modo ?galvanizzare?? Allora, sul fatto che debba esistere una concorrenza sono d?accordo con lei. E? uno stimolo a far meglio. E da questo punto di vista negli ultimi anni, ad esempio, il tentativo di migliorare la sicurezza dei nostri sistemi, delle nostre policy, e soprattutto la nostra comunicazione verso l?utente finale rispetto ai problemi della sicurezza, sono state frutto anche della non buona percezione che il mercato stava avendo di noi, confrontandoci con altre realtà rispetto a questo tema. Diventa però una competizione unfair quando le regole della concorrenza vengono stravolte, quando viceversa la nostra sfida è di mostrare che noi portiamo del valore. Microsoft però investe una cosa come 5 miliardi di dollari in ricerca e sviluppo per ?creare valore?? mentre il movimento open source no? Guardi che anche gli investimenti del movimento open source non sono banali. Qualcuno una volta a un convegno mi ha fatto notare dalla sala, che se si mettono insieme tutte le risorse che lavorano dietro al movimento open source e dietro a tutti i progetti che sono pubblicati su Sourceforge (http://sourceforge.net ndr.), quell?investimento è probabilmente superiore a quello di Microsoft. Ma l?investimento grosso non è tanto quello: è garantire la continuità di sviluppo, di supporto, di certificazioni, di interazioni con il resto del mercato, cosa che tipicamente contraddistingue un?azienda che ha un processo industriale dietro. E questo investimento lo si può fare se si investe nello stesso instante su aspettative di mercato, da cui trarre profitto e margini. E? possibile prevedere in futuro un tipo di licenza open source di Microsoft per l?utente finale in cui mantenga la proprietà intellettuale e vieti la commercializzazione? In questo momento non ci sono dei segnali che possano far pensare a questa ipotesi. Innanzitutto perché non pensiamo che tutti smanino per avere i codici sorgenti. Sembra che tutti vogliano i codici sorgenti, ma per esperienza posso confermare che rilasciare i codici sorgenti può addirittura creare un problema inutile al cliente finale, il quale desidera che il computer funzioni e basta. In realtà a chi servono i codici sorgenti? Perché questo è il punto. Servono a quegli interlocutori che ruotano intorno all?ecosistema del software e che, attraverso la conoscenza del codice sorgente, possono contribuire allo sviluppo. Se poi si parla delle applicazioni per l?utente finale, cosa che per i governi potrebbero essere una grande fonte di risparmio, si apre un altro discorso. Un governo non risparmia tanto se ha i codici sorgenti di un sistema operativo, lo fa avendo i codici delle applicazioni, perché è lì che investono miliardi. Sì, però un governo, sia per il sistema operativo che per le applicazioni, potrebbe dotarsi di prodotti open source e investire il costo che avrebbe avuto in licenze Microsoft in posti di lavoro? Questo sì, questa è un?equazione che sta in piedi. Anche se però l?equazione dovrebbe essere fatta sul lungo periodo e non sul breve? ? ma secondo lei Linux, da un punto di vista operativo, è un sistema all?altezza di potersi inserire nella pubblica amministrazione? Ma, Unix è sul mercato dall?85 circa, e Linux è una versione di Unix di tipo open source. Che quindi possa essere utilizzato commercialmente non c?era bisogno di Linux, non cambia granché. Cos?è che cambia sostanzialmente? Con Linux c?è per la prima volta sul mercato una versione di Unix che non richiede un hardware specializzato, cioè che può girare su qualsiasi computer. Linux sta semplicemente diventando lo standard Unix. Il che mi porta a dire come la prima e vera vittima del consolidamento di Linux sono i venditori di sistemi operativi Unix. E per quanto riguarda la fornitura di assistenza, a chi dice che non concedendo i codici sorgenti se non attraverso ad esempio il GSP, vincolate il cliente alla vostra assistenza, cosa può dire? Sì, l?ho sentita anch?io questa cosa, ma è un?equazione che non sta semplicemente in piedi. Se un cliente vuole servizi su piattaforma Microsoft l?ultimo posto in cui dovrebbe andare per chiedere servizi è da noi, e per un semplice motivo: perché per Microsoft i servizi non sono un business. Non ci dimentichiamo che Microsoft non vende mai direttamente, ma attraverso la sua struttura di partner. Poi uno potrebbe dire che per avere assistenza si deve andare da uno dei nostri partner, certificati o no, e questo è vero.