Appalti open source: vecchi preconcetti, nuova realtà

All'inizio degli anni 2010, il software open source (OSS) suscitava un notevole ottimismo, ma i team addetti agli acquisti nutrivano ancora legittime preoccupazioni riguardo all'affidabilità, all'assistenza a lungo termine e alla sicurezza.

Oggi, però, le cose sono cambiate. Le piattaforme open source offrono ora versioni aziendali che garantiscono lo stesso livello di servizio e conformità che ci si aspetterebbe dalle alternative proprietarie. Infatti, anche quando si acquista un software proprietario, il 70-90% di tutto il codice di quel sistema è costituito da componenti open source.

Come indicato dalla Linux Foundation Guida al software open source per i professionisti degli appalti spiega più approfonditamente, la domanda rilevante non è se si debba o meno utilizzare l'OSS, ma come il codice open source venga selezionato, mantenuto e concesso in licenza. Questo articolo spiegherà perché le regole empiriche che all'inizio degli anni 2010 facevano pendere la bilancia a sfavore dell'OSS non sono più applicabili.

Punti chiave:

Il software open source è in grado di soddisfare gli stessi requisiti in materia di sicurezza, conformità e scalabilità delle alternative proprietarie e spesso offre una maggiore trasparenza.
I modelli di assistenza commerciale, gli accordi strutturati sul livello di servizio (SLA) e le opzioni di hosting aziendale sono elementi comuni alle soluzioni open source destinate alle imprese.
Se si tiene conto dei costi di licenza, della dipendenza da un unico fornitore e della flessibilità a lungo termine, il costo totale di proprietà tende ad essere inferiore nel caso dell'open source.
Le moderne piattaforme open source aziendali combinano i vantaggi dell'innovazione guidata dalla comunità con la responsabilità a livello aziendale.

Cosa c'è di sbagliato nelle idee preconcette sull'open source

Molte politiche di approvvigionamento continuano a considerare l'OSS come un elemento intrinsecamente rischioso, ma in realtà non è così. Di seguito analizziamo i presupposti alla base delle quattro principali preoccupazioni dei professionisti degli acquisti – sicurezza, scalabilità, costo totale di proprietà (TCO) e assistenza a lungo termine – e dimostriamo come le piattaforme open source spesso superino le loro controparti proprietarie.

Sicurezza

L'ipotesi: L'open source è intrinsecamente meno sicuro perché il codice è visibile pubblicamente, rendendo più facile per i malintenzionati individuare le vulnerabilità.

La realtà odierna: La trasparenza del codice non è un ostacolo. Semmai, è una risorsa. I progetti open source sono trasparenti e consentono a molti sviluppatori in tutto il mondo di esaminare il codice. Questa continua revisione tra pari aiuta a identificare e correggere le vulnerabilità più rapidamente rispetto al software closed-source, dove solo il team del fornitore può accedere al codice.

E mentre molti ingegneri contribuiscono al codice open source per il loro impegno personale nei confronti dei principi della comunità, anche le aziende di sicurezza informatica che desiderano costruirsi una reputazione esaminano regolarmente il codice open source alla ricerca di vulnerabilità. In altre parole, la resilienza del codice open source non si basa solo su una buona volontà arbitraria, ma sugli stessi incentivi che guidano l’innovazione nelle organizzazioni a scopo di lucro.

Il risultato è che alle piattaforme di valutazione basate su codice open source vengono affidati dati sensibili. Ad esempio, la soluzione open source di TAO è stata utilizzata da organizzazioni quali il Ministero dell'Istruzione in Lituania e il Dipartimento dell'Istruzione di New York, nonché da altri ministeri a livello globale che gestiscono esami non obbligatori e programmi pilota come POC per la trasformazione digitale. Queste implementazioni dimostrano come le piattaforme open source possano soddisfare i requisiti reali in materia di sicurezza, anche in contesti educativi regolamentati.

Scalabilità

L'ipotesi: Gli strumenti open source vanno bene per i progetti su piccola scala, ma non sono in grado di supportare un utilizzo intensivo in sistemi complessi e mission-critical.

La realtà odierna: Gran parte dell'infrastruttura utilizzata oggi online funziona con codice open source. Ad esempio, Linux alimenta la stragrande maggioranza dell'infrastruttura cloud pubblica, OpenSSL crittografa la maggior parte del traffico web e vari database open source elaborano miliardi di transazioni ogni giorno. Lungi dall'essere "sperimentale", il codice open source è la vera spina dorsale delle agenzie governative, delle istituzioni finanziarie e delle aziende Fortune 10.

Le agenzie governative lo confermano. Ad esempio, l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) promuove attivamente promuove l'OSS in tutto il governo federale, affermando che «il software open source è parte integrante delle fondamenta dell’infrastruttura digitale su cui tutti facciamo affidamento».

Nel settore delle valutazioni regolamentate, le piattaforme aperte sono già alla base di programmi di valutazione su larga scala e di grande importanza. In Italia, ad esempio, le valutazioni nazionali vengono somministrate a milioni di studenti utilizzando una piattaforma Enterprise basata sul codice open source di TAO.

A questo livello, la scalabilità si ottiene in genere grazie a un'infrastruttura gestita, a un'assistenza dedicata e a un'ottimizzazione continua. Molte organizzazioni investono in una soluzione aziendale per gestire questa complessità e ridurre il rischio operativo, specialmente in contesti ad alto rischio in cui l'affidabilità è fondamentale. Altre utilizzano la stessa base open source per implementazioni su scala ridotta o meno urgenti, a seconda delle proprie capacità interne.

Ciò mette in evidenza un punto importante: l'open source offre una base collaudata e scalabile, mentre le organizzazioni possono scegliere come implementarla in base alla propria propensione al rischio, alle capacità interne e alle esigenze di scalabilità.

Costo totale di proprietà

L'ipotesi: L'open source è "gratuito ora ma costoso in seguito" perché i risparmi iniziali sono compensati dai costi nascosti di integrazione, personalizzazione e manutenzione.

La realtà odierna: Ogni volta che si implementa un software, sia esso open source o proprietario, si devono sostenere costi di integrazione e manutenzione. La differenza sta nel modo in cui tali costi sono strutturati e in chi ha il potere di stabilirli.

Le piattaforme proprietarie prevedono costi di licenza abbinati a diritti di personalizzazione limitati e penali in caso di migrazione, oltre a clausole di aumento annuale dei prezzi. L'open source, invece, elimina completamente i costi di licenza. Si ottiene invece un modello di costo più trasparente, in cui si investe nell'implementazione, nell'assistenza e nell'infrastruttura secondo le proprie esigenze.

In pratica, i fornitori di software open source moderni offrono anche pacchetti di livello aziendale con contratti di assistenza commerciale, hosting gestito e servizi professionali, evitando al contempo la dipendenza da un unico fornitore. Ciò consente alle istituzioni di valutare i costi utilizzando lo stesso quadro di riferimento applicato ad altri investimenti tecnologici.

Assistenza a lungo termine e responsabilità

Il presupposto: Se qualcosa va storto con il software open source, sei da solo.

La realtà odierna: L'open source ha un proprio modello di assistenza, ma ciò non significa che siate completamente soli. Con piattaforme come TAO, le organizzazioni assumono la responsabilità della propria implementazione, inclusi hosting e operazioni, il che garantisce loro il pieno controllo del proprio ambiente. Questa è una differenza fondamentale rispetto al software proprietario.

Allo stesso tempo, non mancano certo le risorse. Gli utenti possono contare su forum di comunità molto attivi, documentazione per gli utenti, video tutorial e sulle competenze condivise da altri professionisti del settore. Per le organizzazioni che necessitano di ulteriore assistenza, TAO offre anche corsi di formazione a pagamento e pacchetti di assistenza basati su SLA, garantendo l'accesso a competenze specifiche sui prodotti e a tempi di risposta definiti.

Questo modello è particolarmente indicato per i team che dispongono di competenze tecniche interne o di partner IT di fiducia. Anziché affidarsi a un fornitore per la gestione end-to-end, le organizzazioni mantengono il controllo sulle modalità operative e sull’assistenza della propria piattaforma.

In che modo i servizi aziendali offrono il meglio di entrambi i mondi

Le piattaforme di valutazione commerciale che si basano sullo stesso nucleo open source combinano caratteristiche tradizionalmente associate sia ai modelli open source che a quelli proprietari.

Le organizzazioni beneficiano della trasparenza del codice, dell'innovazione guidata dalla comunità, della sicurezza, dell'interoperabilità e dell'assenza di dipendenza da un unico fornitore, caratteristiche che da sempre contraddistinguono il software libero (OSS). Allo stesso tempo, possono contare sul supporto commerciale, sull'infrastruttura gestita, sui quadri normativi e sulla governance tipici di un fornitore tradizionale.

Se le organizzazioni vogliono trarre vantaggio da questa combinazione, i responsabili degli acquisti devono aggiornare i propri criteri di valutazione. Anziché concentrarsi sul fatto che una piattaforma sia open source o proprietaria, i team di acquisto dovrebbero porsi le seguenti domande: questa piattaforma soddisfa i nostri requisiti di sicurezza e conformità? L'assistenza e la responsabilità sono affidabili? E per quanto riguarda la migrazione?

Se valutate in base a questi criteri, le piattaforme di valutazione aperte spesso si allineano strettamente alle priorità istituzionali, poiché sono progettate per garantire trasparenza, flessibilità e controllo operativo a lungo termine.

È ora di riconsiderare i presupposti

Le decisioni in materia di appalti dovrebbero riflettere il modo in cui le piattaforme open source funzionano oggi, non basarsi su presupposti obsoleti risalenti a epoche passate. Le moderne soluzioni open source supportate dalle aziende hanno raggiunto una maturità tale da soddisfare i requisiti di sicurezza, scalabilità, conformità e assistenza tecnica negli ambienti regolamentati del settore pubblico.

Pertanto, i modelli di approvvigionamento tradizionali che escludono d’istinto l’open source non proteggono le istituzioni, ma le limitano. Escludendo piattaforme che potrebbero offrire una migliore governance, un costo totale di proprietà (TCO) inferiore e un maggiore controllo, i professionisti degli appalti perdono l’opportunità di aumentare l’impatto delle risorse limitate.

Se desideri saperne di più sulle piattaforme open source, dai un'occhiata a queste utili risorse sul blog TAO:

Domande frequenti

È sicuro utilizzare il software open source negli ambienti governativi e del settore pubblico?

Sì, l'open source è ampiamente utilizzato nelle infrastrutture governative di tutto il mondo. Agenzie come la CISA sostengono attivamente l'adozione dell'open source, e le piattaforme open source aziendali offrono le stesse certificazioni di conformità, gli stessi audit di sicurezza e le stesse strutture di governance delle alternative proprietarie. Inoltre, il software open source viene costantemente sottoposto a revisione da parte della comunità open source, rafforzandone così le difese.

In che modo viene fornito il supporto per il software open source?

Molte piattaforme di valutazione open source sono sostenute da organizzazioni commerciali che offrono soluzioni aziendali in abbonamento, comprendenti contratti di assistenza strutturati, SLA definiti, hosting gestito e gestione dedicata degli account.

A lungo termine, il software open source costa meno di quello proprietario?

In genere, sì. L'open source elimina i costi ricorrenti legati alle licenze e riduce la dipendenza da un unico fornitore, garantendo alle istituzioni un maggiore controllo sui costi a lungo termine. Se si tiene conto del costo totale di proprietà (TCO), inclusi assistenza, infrastruttura e flessibilità, l'open source tende a rappresentare una soluzione più vantaggiosa.

Nome	Fornitore	Scopo	Scadenza
_cf_bm	Cloudflare	Questo cookie, impostato da Cloudflare, viene utilizzato per supportare la funzione Cloudflare Bot Management.	1 ora
_cfuvid	Cloudflare	Questo cookie viene impostato da Cloudflare per migliorare la sicurezza e le prestazioni. Aiuta a identificare il traffico web attendibile e garantisce agli utenti un'esperienza di navigazione sicura.	Sessione
wp_lang	WordPress	Serve a memorizzare la lingua selezionata per visualizzare i contenuti del sito nella lingua preferita.	Sessione

Nome	Fornitore	Scopo	Scadenza
_ga	Google Analytics	Viene utilizzato per monitorare gli utenti unici e il loro coinvolgimento con il sito web.	1 anno
_ga_J3D17J4G4Q	Google Analytics	Viene utilizzato per monitorare gli utenti unici e il loro coinvolgimento con il sito web.	1 anno
_gid	Google Analytics	Utilizzato per tracciare le sessioni degli utenti e le visualizzazioni delle pagine	24 ore
_gcl_au	Google AdSense	Utilizzato per associare i clic sugli annunci a pagine di destinazione specifiche.	90 giorni
bcookie	LinkedIn	Utilizzato per memorizzare i dati del browser.	1 anno
li_sugr	LinkedIn	Utilizzato per memorizzare e tracciare l'identità di un visitatore.	90 giorni
lidc	LinkedIn	Utilizzato per fornire funzionalità di bilanciamento del carico.	24 ore
_fbp	Facebook	Utilizzato per memorizzare e tracciare le visite sui vari siti web.	90 giorni
hubspotutk	HubSpot	Utilizzato per tracciare i visitatori e registrare l'invio dei moduli.	13 mesi
_hssc	HubSpot	Utilizzato per memorizzare statistiche in forma anonima.	30 minuti
_hssrc	HubSpot	Utilizzato per memorizzare un ID di sessione univoco.	Sessione
__hstc	HubSpot	Utilizzato per memorizzare l'ora della visita.	13 mesi
test_cookie	DoubleClick	Serve a verificare se il browser dell'utente supporta i cookie. Fa parte del processo di pubblicazione degli annunci.	15 minuti
moove_gdpr_popup	Conformità ai requisiti del GDPR in materia di cookie	Utilizzato per memorizzare le preferenze relative al consenso sui cookie.	Sessione
_hjSessionUser_[ID]	HotJar	Tiene traccia delle sessioni degli utenti relative al widget di traduzione Weglot	6 mesi

Punti chiave:

Cosa c'è di sbagliato nelle idee preconcette sull'open source

Sicurezza

Scalabilità

Costo totale di proprietà

Assistenza a lungo termine e responsabilità

In che modo i servizi aziendali offrono il meglio di entrambi i mondi

È ora di riconsiderare i presupposti

Domande frequenti

Articoli correlati

Valutazioni moderne delle competenze per una certificazione affidabile

In che modo le piattaforme LMS governative possono utilizzare l'intelligenza artificiale per migliorare la creazione di contenuti

Perché gli organismi di certificazione devono considerare i dati relativi agli esami come infrastrutture critiche

Iscriviti al nostro blog