Il rapporto tra il software open source (e categorie assimilate) e le grandi Compagnie commerciali è sempre stato molto controverso.
Spesso, infatti, si accusano le Compagnie di sfruttare il software libero restituendo poco in cambio rispetto a quello che si prende.
È un fatto che molte organizzazioni commerciali (dai piccoli studi professionali alle grande aziende) utilizzino, ad esempio, software quali Linux, Firefox, KVM, firewall vari, OpenVPN, 7ZIP, a titolo puramente gratuito senza corrispondere alcunché al mondo dell’open source e senza nemmeno porsi il problema di farlo.
In questo caso il corrispettivo non deve essere necessariamente del denaro, ma basterebbe partecipare attivamente, magari con traduzioni, correzioni o ampliamento della documentazione.
Recentemente ha fatto discutere l’azione di Marak Squires, che, stufo, a suo dire, di scrivere software sfruttato dalle BigCorp, ha deciso di manomettere le sue librerie per sollevare il caso.
Il vero campanello d’allarme in questo caso specifico non è solamente la reazione di Marak Squires, ma anche quella di GitHub che ha deciso autonomamente di sospendere il suo account, titolare di un centinaio di repository. Questa azione apre tutta un’altra serie di quesiti che ci porterebbe però lontano.
Il problema qui è che in troppi progetti (open, commerciali o interni alle aziende che siano) vengono incluse acriticamente troppe librerie per pura comodità senza considerare le conseguenze. Quando è avvenuto l’ultimo aggiornamento? Con che frequenza viene aggiornata? Chi sono i manutentori? Come si segnalano i problemi e quali sono le reazioni dei manutentori? Se tempo fa era difficile rispondere in maniera puntuale a queste domande, ora con i sistemi online di tracciabilità delle modifiche al codice è molto più semplice. Ovviamente, una volta inclusa la libreria, ci si dimentica della gestione delle dipendenza.
Poche volte si valutano le conseguenze della dipendenza da una libreria anteponendo una certa pigrizia ad un’analisi concreta del problema da risolvere, con il rischio di portare a bordo un mammozzone con sacco di incognite. Il caso di log4j è un chiaro esempio.
Qual è la soluzione?
Impossibile dirlo in questo articolo, di certo vale sempre la pena di valutare bene le conseguenze dell’inclusione di una libreria che compare nella prima pagina di Google o tra le prime risposte di StackOverflow quando si cerca il problema.
Se si utilizza una libreria open, cercate quanto vi è possibile di dimostrare gratitudine perché alla fine what goes around comes around.
Lascia un commento