10 Ottobre 2023

Red Hat chiude la mailing list rhsa-announce e la riserva solo agli abbonati.

La decisione di Red Hat di limitare l’accesso alla mailing list rhsa-announce pone sfide ai cloni come AlmaLinux e Rocky Linux nel mantenere aggiornamenti di sicurezza tempestivi.

IBM Red Hat

Il recente annuncio di Red Hat di chiudere la sua mailing list rhsa-announce ha suscitato un’ampia gamma di reazioni nella comunità Linux e open-source. Questa lista era una fonte affidabile di annunci, aggiornamenti e notifiche legate alla sicurezza dei pacchetti software. Ora, per accedere a tali informazioni, sarà necessario essere un “subscriber” del portale Red Hat, accedendo a questo indirizzo oppure abbonandosi a questo feed RSS.

Login Red Hat account

Perché questa mossa è significativa?

La decisione di Red Hat di limitare l’accesso alla mailing list rhsa-announce è stata interpretata da molti come una manovra strategica mirata a ostacolare la crescita e l’efficacia dei cloni di Red Hat, tra cui AlmaLinux, Rocky Linux, Oracle Linux e SUSE. Queste distribuzioni, che erano tradizionalmente in grado di accedere rapidamente e liberamente alle informazioni sulla sicurezza attraverso la mailing list, ora si trovano di fronte a una sfida significativa.

Interessante notare che queste distribuzioni sono ora parte del consorzio OpenELA, una coalizione che cerca di standardizzare e facilitare la condivisione di codice sorgente e informazioni tra distribuzioni Linux compatibili con Red Hat Enterprise Linux (RHEL). OpenELA è stato creato proprio per far fronte a sfide come questa, cercando di offrire un’alternativa collaborativa che potrebbe sostituire o almeno affiancare i canali ufficiali di Red Hat.

IBM e la questione Open Source

Sebbene Red Hat continui a sostenere di operare come “entità separata e indipendente” da IBM, la sua recente mossa di chiudere la mailing list rhsa-announce sembra essere perfettamente allineata con la filosofia aziendale di IBM, fortemente orientata al profitto. Questa decisione potrebbe rappresentare un ulteriore segnale di un mutamento più ampio nell’approccio sia di Red Hat che di IBM verso l’open source e le comunità che vi gravitano attorno.

IBM ha una storia consolidata di acquisizioni e monetizzazione di tecnologie. Uno degli esempi più noti è l’acquisizione di Lotus Development Corporation nel 1995. Sebbene Lotus non fosse un progetto open source, IBM ha sfruttato componenti open source in varie parti della suite Lotus, con l’obiettivo di generare un profitto. Allo stesso modo, l’acquisto del fornitore di software di analytics e data science SPSS nel 2009 ha seguito un modello simile, con IBM che ha cercato di monetizzare soluzioni di analytics anche attraverso l’uso di tecnologie open source come R.

L’acquisizione di Red Hat nel 2019 per 34 miliardi di dollari è stata una delle più grandi operazioni nel mondo del software open source. Da allora, IBM ha iniziato a integrare la vasta gamma di soluzioni Red Hat, da OpenShift a Ansible, nei propri servizi cloud e di automazione. Mentre Red Hat ha sempre avuto un modello di business piuttosto etico ed in linea con le aspettative della comunità Linux e della filosofia Open Source, la sua acquisizione da parte di IBM ha posto nuove domande su come il gigante della tecnologia avrebbe potuto cercare di massimizzare i profitti dall’ecosistema open source.

Questa ultima decisione di limitare l’accesso alle informazioni sulla sicurezza potrebbe essere vista come parte di una strategia più ampia per controllare e monetizzare l’accesso a risorse preziose all’interno dell’ecosistema Red Hat, in linea con gli obiettivi commerciali di IBM.

Implicazioni per la sicurezza

La decisione di Red Hat di restringere l’accesso alla mailing list rhsa-announce porta con sé una serie di implicazioni nel delicato campo della sicurezza informatica. In un mondo dove gli attacchi informatici sono sempre più frequenti e sofisticati, il tempismo è un elemento cruciale. Le organizzazioni dipendono da informazioni tempestive e dettagliate per attuare misure preventive, come l’applicazione di patch di sicurezza e upgrade del software.

Nel nuovo scenario, le organizzazioni e i singoli utenti che si appoggiano a cloni di Red Hat, come AlmaLinux, Rocky Linux, Oracle Linux e SUSE, potrebbero trovarsi in una posizione svantaggiata. Privi di un canale di comunicazione diretto e rapido per gli aggiornamenti sulla sicurezza, questi utenti corrono il rischio di essere esposti a vulnerabilità non ancora mitigabili. In pratica, senza un accesso immediato alle advisory di sicurezza, le operazioni tecniche come il patching e gli upgrade potrebbero subire ritardi significativi.

Questo ritardo può tradursi in una finestra di opportunità per gli aggressori, che potrebbero sfruttare le vulnerabilità note ma non ancora corrette. In tal caso, il rischio non è soltanto teorico: un attacco riuscito potrebbe portare a conseguenze disastrose, tra cui la perdita di dati sensibili, interruzioni operative e danni reputazionali.

Pertanto, le organizzazioni dovranno non solo trovare modalità alternative per essere notificate riguardo alle advisory di sicurezza, ma anche assicurarsi che tali canali siano altrettanto tempestivi e affidabili come la mailing list rhsa-announce di Red Hat. Solo così sarà possibile mantenere un livello di sicurezza comparabile a quello a cui erano abituati, minimizzando il rischio di esposizione a potenziali attacchi.

Considerazioni finali

Per mantenere un livello di sicurezza e aggiornamento comparabile a quello fornito dalla mailing list rhsa-announce, le distribuzioni del consorzio OpenELA dovranno ora ideare modi alternativi per rimanere aggiornate sulle advisory di sicurezza. Questo potrebbe includere la creazione di una nuova mailing list comune, il monitoraggio delle vulnerabilità attraverso fonti di terze parti o l’implementazione di soluzioni di monitoraggio della sicurezza in tempo reale.

Questo nuovo scenario potrebbe anche portare a una sorta di “corsa agli armamenti” nel mondo del software open-source, dove la capacità di accedere rapidamente a informazioni cruciale sulla sicurezza potrebbe diventare un fattore competitivo chiave. Le distribuzioni che non riusciranno a mantenere il passo potrebbero trovarsi progressivamente emarginate o meno competitive sul mercato, con conseguenze potenzialmente gravi in termini di sicurezza per gli utenti finali.

Mentre la decisione di Red Hat potrebbe sembrare una mossa isolata, essa potrebbe avere un impatto a lungo termine sull’ecosistema Linux più ampio, forzando le distribuzioni concorrenti a ripensare e forse a reinventare le loro strategie per l’accesso e la distribuzione di informazioni cruciali sulla sicurezza.

La chiusura della mailing list rhsa-announce è una mossa che può avere un impatto significativo sulla comunità Linux. Tuttavia, come spesso accade in un ecosistema in rapida evoluzione come quello dell’open source, è probabile che nuove soluzioni emergano per colmare qualsiasi vuoto informativo.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto