ARC_02
Se la più importante delle distribuzioni Linux può andare in crisi per una traduzione ostile, forse è tempo di porci qualche altra domanda sul modello opensource e sul mito del codice sorgente
È successo qualcosa di inaspettato e preoccupante al tempo stesso. Qualcosa che con la sua pur limitata ricaduta dovrebbe portarci a fare qualche riflessione più critica del modello di sviluppo opensource e più in generale sul mito salvifico del codice sorgente. È accaduto che Canonical ha dovuto frettolosamente ritirare [1] la distribuzione Ubuntu 23.10 Mantic Minotaur a poche ore di distanza dalla sua presentazione ufficiale. Ed ha dovuto procedere al ritiro dopo che è emerso che la traduzione in Ucraino dell'edizione desktop era stata infiltrata da una serie di stringhe offensive inviate da un utente al servizio online su cui Canonical basa la localizzazione del proprio sistema operativo.
Una nefasta catena di eventi che in questo contesto non ha generato gravi danni, ma certo non fa bene alla reputazione di Ubuntu. Se la più diffusa delle distribuzioni Linux è così permeabile ad infiltrazioni esterne, è lecito chiedersi quanto sicuro sia davvero il modello di sviluppo opensource. Il tutto peraltro a poche settimane di distanza dalla fumosa questione del download manager che per anni ha infettato [2] sistemi Linux con tecniche del tutto analoghe a quelle che devastavano i vecchi sistemi Windows 9x (installer malevolo che piazza un componente spyware nel sistema e periodicamente ne rilancia l'esecuzione).
In entrambe le circostanze il sorgente era pubblico. Lo era nelle tabelle di traduzione di Ubuntu 23.10 e lo era nello script Bash di installazione del software. Eppure entrambi gli attacchi sono andati in porto; con grande valore dimostrativo nel caso di Mantic Minotaur e con un danno effettivo alla privacy degli utenti coinvolti nel caso del download manager.
Mi perdonerete l'auto citazione, ma nell'ultimo post pubblicato su questo blog quasi un mese fa avevo scritto: > Esiste una frattura nel mondo dell'opensource che separa progetti altamente profittevoli, i cui ritorni economici sono del tutto paragonabili con quelli del software proprietario, da altri economicamente marginali i cui autori faticano a trarne un minimo sostentamento. Ma per come è pensato il software opensource, il lato ricco della frattura è fortemente dipendente da quello povero a cui spesso attinge a piene mani restituendo poco o nulla.
Ecco, credo che il problema sia ancora sostanzialmente lo stesso anche nella vicenda di Ubuntu 23.10. Canonical è una grande azienda con un business ramificato, con una organizzazione gerarchica da multinazionale. Una società con bilanci a tanti zeri, molti dipendenti, comprensibili ambizioni di crescita. Eppure tanta parte della sua struttura si poggia sul contributo di volontari che nel migliore dei casi portano a casa un cappellino ed un adesivo mentre nel peggiore non vengono mai neppure citati nei pur verbosi file di attribuzione.
E Canonical non è certo una rarità. Penso ad esempio a Mozilla che non sapendo evidentemente cosa fare dei milioni di euro che riceve da Google, si lancia in iniziative sempre più dispendiose, offre contratti manageriali da colosso della Silicon Valley e poi scarica su utenti esperti e volontari molte incombenze come la localizzazione, la traduzione del sito e il supporto agli utenti. Possibile che di flussi milionari che vanno e vengono come treni ad alta velocità, non ci sia nulla che possa drenare fino alla base del movimento? non dico una retribuzione -che poi mi si accusa di comunismo!– ma che so anche solo un riconoscimento tangibile per il tempo impiegato. Evidentemente no.
Sembra alla fine che esista una specie di scala piramidale nel mondo dell'opensource moderno. La dirigenza si aspetta di ricevere stipendi e benefit analoghi al mondo closed source, i programmatori giustamente vengono pagati a cifre di mercato e tutto ciò che sta al di sotto viene delegato al volontariato, al lavoro non retribuito di chi dovrebbe magari anche sentirsi privilegiato a poter contribuire a cotanta gloria. Eppure provateci voi a far crescere un software senza tradurlo nelle varie lingue, senza scrivere della buona e coerente documentazione, senza supportare gli altri utenti nel momento in cui si imbattono in un problema reale o in una delle tante idiosincrasie del reparto software.
Un discorso a parte meriterebbe la questione del codice sorgente. O meglio di come questo elemento sia stato elevato a chiave di volta di tutto il movimento opensource. Come ho scritto altre volte, la disponibilità del sorgente in se è un bene ma non una garanzia solida. Pensare che un software a qualsiasi livello sia sicuro solo perché in qualche oscuro repository c'è un sorgente che ne illustra il funzionamento è una delle grandi illusioni dell'informatica. Perché poi quel sorgente non lo esaminerà mai nessuno, i pochi che ci proveranno si scoraggeranno per l'incomprensibilità del codice e dei commenti, ed alla fine ognuno vivrà nella serena illusione che il controllo lo abbia portato a termine qualcun altro.
Lo scrivo in coda, più che altro per chiarire e prevenire equivoci. Documentazione, traduzione e supporto sono cose di cui mi interesso da anni ed a cui ho dato innumerevoli contributi. Mi è sempre piaciuto farlo soprattutto come forma di ringraziamento verso chi mette a disposizione gratuitamente il proprio lavoro. Ma questo ha senso finché parliamo di progetti senza scopo di lucro, di lavori svolti da singoli sviluppatori, persino di piccoli programmi commerciali se portati avanti con attenzione e rispetto degli utenti. Ma quando iniziano a girare troppi soldi, quando il piccolo progetto diventa enorme, quando tutto assurge a livelli da multinazionale, beh a quel punto c'è da chiedersi se è ancora eticamente giusto scaricare pesi e responsabilità su semplici volontari.
O per dirla in altri termini, se Microsoft o Apple lo facessero cosa diremmo?
Riferimenti: * [1] Ubuntu Desktop 23.10 release image is being updated to resolve a malicious translation incident * [2] Free Download Manager site redirected Linux users to malware for years
#A2023 #Canonical #Ubuntu #Linux #OpenSource #Mozilla #Privacy