Quelli che… Apache OpenOffice…

Apache OpenOffice è un progetto solido, sostenuto da IBM. Questo garantisce la professionalità dello sviluppo, la qualità del codice e la continuità del progetto… Chi migra ad Apache OpenOffice può dormire sonni tranquilli…

Chi ha espresso i concetti che ho sintetizzato in questo paragrafo, dovrebbe fare pubblica ammenda, e ammettere i propri errori (dovuti, probabilmente, alla scarsa conoscenza sia del progetto LibreOffice sia degli “illustri” precedenti di IBM nel mondo open source).

Infatti, nella storia prima di OOo e poi di Apache OpenOffice, e in quella del progetto Harmony, ci sono tutti gli elementi per comprendere che l’unico concetto corrispondente alla verità è quello che riguarda la relazione con IBM, perché Apache OpenOffice era un progetto IBM e non certo un progetto della comunità, che IBM ha creato con l’obiettivo di distruggere LibreOffice (e The Document Foundation) e non certo per garantire continuità al codice di OOo, tanto che – quando è stato chiaro che aveva mancato l’obiettivo – ha completamente abbandonato il progetto stesso, lasciandolo senza sviluppatori.

Nell’ultimo mese, i contributi al codice di Apache OpenOffice sono stati solo due, così come conferma l’analisi del repository GitHub: https://github.com/apache/openoffice/pulse/monthly.

Pulse · apache openoffice · GitHub

Gli sviluppatori IBM sono scomparsi alla fine di giugno 2014, e da quel momento i contributi sono diminuiti fino alla situazione attuale, così come mostra questo grafico: https://github.com/apache/openoffice/graphs/commit-activity.

Commit Activity · apache openoffice · GitHub

Tutto questo era chiaro sin dal 2011, per una serie di motivi che è difficile sintetizzare in un post, tanto che per raccontarli con i dettagli necessari per fornire un quadro completo c’è voluto un documento di una dozzina di pagine (PDF). Così com’era chiaro sin dal 2011 che LibreOffice avrebbe superato AOO in termini di qualità e funzionalità, al punto che il confronto puntuale tra i due software richiede più di 50 pagine (PDF).

Il peggio, però, è arrivato con l’annuncio del 25 aprile 2015, in cui si comunica agli utenti – solo quelli iscritti alla mailing list degli annunci – che per risolvere una vulnerabilità devono cancellare manualmente un file dalla cartella del programma, in quanto il progetto non è stato in grado – in due mesi – di fornire una soluzione (patch) capace di correggere la vulnerabilità stessa.

Dopo il 25 aprile 2015, Apache OpenOffice – affetto da questa vulnerabilità – è stato scaricato da milioni di utenti (stando alle cifre fornite da SourceForge, che fortunatamente sono ampiamente gonfiate), senza che gli utenti stessi venissero avvertiti del fatto che stavano scaricando un programma affetto da un problema di sicurezza, che poteva essere risolto solo con un intervento manuale (alla portata di una minoranza di utenti).

Sospetto, inoltre, che nessun tipo di avvertimento sia stato inviato alle pubbliche amministrazioni che sono migrate ad Apache OpenOffice, sulla base delle rassicurazioni sulla qualità del progetto fornite dagli autori dell’affermazione di cui sopra. Fortunatamente, queste pubbliche amministrazioni si trovano solo in Italia: Regione Emilia Romagna, Comune di Trieste e Comune di Udine, più la Provincia di Trento, che apparentemente sta migrando a AOO – un software affetto da un problema di sicurezza, e senza sviluppatori – proprio in questo periodo.

Lascio ai lettori il compito di giudicare la serietà di un progetto – e della fondazione che lo sostiene – che distribuisce un programma affetto da un problema di sicurezza senza comunicarlo in modo ufficiale su tutti i canali. Ci sono circa 100 milioni di utenti intrappolati da Apache OpenOffice, che potrebbero pensare che tutto il software open source è come AOO, con un danno incommensurabile per tutto il software libero.

Il tweet di Simon Phipps, ex presidente e attuale consigliere di Open Source Initiative, e membro sia del progetto Apache OpenOffice sia di The Document Foundation, sintetizza questa situazione imbarazzante:

Simon Phipps - Apache OpenOffice

 

Per chi non ha familiarità con l’inglese, il testo del tweet dice: “Il CVE-2015-1774 è stato annunciato da più di un mese. Apache OpenOffice è stato scaricato più di 100.000 volte al giorno, senza una soluzione al problema e senza un avvertimento all’atto del download”.