Questa è una di quelle notizie che ti fanno cominciare meglio una giornata. E non si tratta della solita guerra di religione tra i sostenitori (a cui io appartengo) e i detrattori dell’Open Source. Questa notizia dimostra che nella Pubblica Amministrazione qualcosa si muove e che – anche lì – l’analisi e la razionalizzazione delle risorse possono arginare gli sprechi scandalosi a cui siamo tutti supinamente rassegnati. E se lo stesso approccio (analisi e razionalizzazione) venisse adottato nella gestione di concorsi, appalti e – soprattutto – assunzioni nella PA? Riporto integralmente (compreso lo strano errore nella numerazione delle domande) l’articolo pubblicato pochi giorni fa sul sito Internet del Circolo dei Giuristi Telematici e ripreso oggi da Punto Informatico. L’originale si trova a questo indirizzo: https://www.giuristitelematici.it/modules/bdnews/article.php?storyid=1289.
Alla pubblicazione della notizia relativa all’adozione, presso gli uffici della Corte dei Conti, di un sistema operativo open source, fa seguito l’approfondimento del dott. Alessandro Monteleone (socio del Circolo dei Giuristi Telematici), incaricato di una breve intervista al dott. Leandro Gelasi responsabile dell’area sistemi operativi della Corte, offerta in esclusiva per questo sito.
1. A tuo parere qual’è il livello di maturità raggiunta dai principali progetti open source?
Il livello di qualità, intendendo qualità nell’accezione dell’Ingegneria del Software, raggiunta da alcuni dei maggiori progetti Open Source è elevatissimo. Anzi, in molti casi è nettamente maggiore dei rispettivi concorrenti closed source. Esempi lampanti, oltre a Linux, sono Apache e Moodle. E non sto parlando solo di funzionalità e di affidabilità, ma anche di livello di documentazione, di qualità del codice, di manutenibilità, di sicurezza, di processo di produzione.
La Corte dei conti ne è ben conscia, tanto che da tempo le piattaforme tecnologiche sono essenzialmente composte da Linux + prodotti Oracle + Apache. Su queste si appoggiano in molti casi software sviluppati ad hoc (alcuni a sorgente aperto, altri proprietari).
Per rimanere in ambito puramente OS, la Corte usa Red Hat Enterprise Linux + Squid + Samba come piattaforma per il servizio di navigazione web, con risultati eccellenti dal punto di vista dell’integrazione, delle prestazioni e della continuità del servizio. E a breve userà Moodle per la formazione interna.
2. Qual’è la tua opinione sull’affidabilità dei programmi OS dal lato server?
Su questo l’esperienza in Corte parla chiaro: se poniamo a 100 la somma dei tempi di disservizio complessivi dell’infrastruttura, la percentuale dovuta a malfunzionamento dei sistemi operativi Red Hat è al di sotto di 0.5. Aspetti critici si sono invece presentati nell’integrazione fra parti open e closed all’interno dello stesso sistema operativo, in particolare dovuti all’uso di moduli proprietari. La professionalità del fornitore (Oracle in questo caso) ha permesso comunque di trovare una soluzione rapida ed efficace.
3. Quali sono gli esiti della valutazione eventualmente eseguita prima dell’adozione di red hat e del OS più in generale in relazione al risparmio costi iniziali e TCO (Total Cost of Ownership) e quali sono i criteri di scelta nell’individuazione delle aziende di supporto e i controlli effettuati sulle stesse?
La scelta di Linux e di Red Hat in realtà è stata sostanzialmente forzata dalla necessità di avere una piattaforma certificata da Oracle per i suoi prodotti. Un buon 80% dei sistemi informativi della Corte si appoggia infatti su architetture 3-tier Oracle. E Oracle lavora in strettissimo contatto con Red Hat su molti fronti. Tra l’altro le precedenti esperienze fatte con software Oracle su piattaforma Microsoft sono state molto deludenti dal punto di vista dell’affidabilità.
Chiaramente si è deciso che, anche dove non strettamente forzati da quanto sopra, tutti i server Linux della Corte fossero RHEL, per ovvi motivi di coerenza di gestione. La presenza di personale in outsourcing certificato su Red Hat è stato un altro fattore importante nella scelta.
Per quanto riguarda l’OS in generale, l’orientamento è di tipo “politico” e segue le raccomandazioni del CNIPA al riguardo. Raccomandazioni che siamo vincolati a seguire come ogni PA. Chiaramente, OS o meno, come tutte le realtà di livello Enterprise (e la Corte lo è in senso proprio, caso raro nelle PA), non possiamo fare a meno di ampie garanzie sui livelli di servizio e di assistenza e nell’ambito sistemi operativi Linux solo Red Hat e SuSE sono a livelli adeguati. La scelta è caduta su Red Hat per le certificazioni Oracle, la base installata, la qualità dell’assistenza riscontrata in passato, oltre ad un’ottima offerta economica.
5. Puoi illustrarci le garanzie di sicurezza dell’OS ed in particolare di Red hat e di Suse?
Una premessa: la Corte ha un livello di sicurezza informatico piuttosto alto per essere una PA. Soprattutto c’è un’organizzazione dei livelli di difesa piuttosto articolata e “ragionata”. Di conseguenza, lato server, non abbiamo forti criticità in ambito security. Cio’ nonostante, la rapidità nel fornire patch a problemi emergenti che distingue la comunità OS è semplicemente imbattibile, almeno per i progetti maggiori.
Red Hat in questo ci da garanzie ancora più ampie, specie considerando l’altissimo livello tecnico (riscontrato personalmente) dell’Help Desk che ci mette a disposizione. Poche realtà del software “classico” sono in grado di fare altrettanto.
Su SuSE posso parlare solo a livello di community OpenSuSE: a mio parere pur non essendo al medesimo livello dei “campioni del mondo” del security team di Debian, offre un “servizio” assolutamente valido. A questo si aggiunge la completa accessibilità del codice sorgente, unico modo per garantire la sicurezza “interna” degli applicativi e dei sistemi (ammesso di avere personale in grado di analizzare il codice, s’intende).
6. In concreto come valuti la flessibilità del sistema operativo e dei singoli programmi OS nell’ambito della PA?
Un aneddoto personale al riguardo. Il mio PC in Corte è un HP Compaq DC 7700 facente parte di un lotto di 1000 macchine acquisite via Consip. Il PC è certificato per la compatibilità con Linux (può essere acquistato anche con Linux preinstallato). Ebbene: l’audio si sentiva solo dall’uscita frontale per le cuffie e non da quella posteriore per le casse (OpenSuSE 10.2), pur se la scheda era correttamente riconosciuta. Ho analizzato il problema, patchato un modulo del kernel, risolto il tutto e inviato la modifica al sistema di bug tracking di SuSE. Dopo 15 giorni la mia patch faceva già parte del kernel ufficiale di OpenSuSE. Prova pure a fare lo stesso con Windows…
La disponibilità del codice sorgente è ovviamente un asset impagabile, prova ne è il fatto che in tutti i contratti quadro Consip per lo sviluppo di software il codice rimane di proprietà della PA che lo ha commissionato. E ciascuna PA, tramite il “riuso” può accedere al codice delle altre. Arrivare al rilascio sotto GPL di tutto il codice prodotto da e per le PA ovviamente è un target ambizioso, ma spero caldamente che ci si possa arrivare quanto prima.