È (purtroppo) un argomento fallace che vedo spesso circolare in ambiti FOSS.
Se qualcuno (VW/Audi in questo esempio) sta commettendo qualcosa di illegale, non si capisce perché ci si dovrebbe fidare degli stessi quando dicono "tutto il software dell'auto è software libero; abbiamo pubblicato i sorgenti qua: <URL>". Se sono disposti a barare, possono benissimo farlo anche quando dichiarano che il codice sorgente pubblicato corrispondo a quello installato nei veicoli (quando ciò non è vero). Non è certo la paura di non rispettare una licenza FOSS (ammesso e non concesso che ci sia del copyleft nell'equazione) che farà loro cambiare la bilancia costi/rischi/benefici. Quindi serve un modo di permettere agli utenti delle auto di verificare che il codice sorgente pubblicato corrisponda ai binari installati nell'auto. Per tutto questo non bastano nemmeno i Reproducible Builds (R-B) https://reproducible-builds.org/ , perché le auto di oggi sono sistemi molto chiusi nel quale l'utente difficilmente riesce ad avere accesso diretto al software installato. Ergo non ci si può basare sul threat model di R-B (cf.: [1]) per una verifica basata su consenso di build o terzi di fiducia. Ricapitolando, una soluzione tecnologica lungo questo asse richiede: (a) 100% open source, (b) reproducible builds, (c) accesso completo ai binari installati nell'auto. E tutto questo mi farebbe UN SACCO PIACERE. Ma da un punto di vista di policy pubbliche, se dobbiamo imporlo per legge, allora è molto più facile imporre il libero accesso per audit a tutto il software in esecuzione in un'auto da parte del regolatore. Ciao [1]: Lamb, Chris, and Stefano Zacchiroli. "Reproducible builds: Increasing the integrity of software supply chains." IEEE Software 39.2 (2021): 62-70. (Per farmi perdonare della auto citazione, ecco qua il preprint open access dell'articolo: https://hal.science/hal-03196519/ ) On Mon, May 08, 2023 at 06:11:37PM +0200, Andrea Trentini wrote: > (mi allaccio al thread > https://server-nexa.polito.it/pipermail/nexa/2022-December/049933.html e > seguenti) > > > -------- Forwarded Message -------- > Subject: The role of FOSS in preventing a recurrence of vehicle emissions > scandals > Date: Sat, 06 May 2023 16:58:09 +0300 > From: Lars Noodén <[email protected]> > To: [email protected] > > Recent news¹ reminds us that back in 2015 a whistleblower exposed the > VW/Audi emissions scandal, which I guess had been going on since 1999. > The companies executives used closed source, proprietary software in the > vehicles to hide the fact that the vehicles were emitting 40 times the > allowed NOx when actually out on the roads and not in the testing > centers. Even with fines and prison sentences, there is no way to be > sure the companies are not working on more of the same -- unless the > development is done out in the open. > > Clearly we see both physical and economic harm from neglecting to > require FOSS even in embedded computers, such as the 100+ now found in > each new car. because these companies have already shown that the > closed source model *cannot* be trusted such style of development should > not be allowed any more in regards to vehicles. Surely a FOSS-based > workflow can be figured out. > > Perhaps it is a timely and appropriate topic for institutions like FSF, > OSI, EFFI, and so on to address that publicly? Even a short statement > in passing would at least raise awareness and provide an opportunity to > ratchet things forward in regard to Software Freedom. > > /Lars > > > ¹ Many sites on this topic, too, here is a small sample of three: > > "Former Audi Chief to Plead Guilty in Emissions Scandal" > https://www.nytimes.com/2023/05/03/business/diesel-emissions-scandal-audi-rupert-stadler.html > > "Ex-Audi CEO to Plead Guilty Over 'Dieselgate' Scandal " > https://www.voanews.com/a/ex-audi-ceo-to-plead-guilty-over-dieselgate-scandal-/7076658.html > > "Former head of Audi to confess in 'dieselgate' fraud trial| > https://www.dw.com/en/former-head-of-audi-to-confess-in-dieselgate-fraud-trial/a-65084639 > > _______________________________________________ > libreplanet-discuss mailing list > [email protected] > https://lists.libreplanet.org/mailman/listinfo/libreplanet-discuss > _______________________________________________ > nexa mailing list > [email protected] > https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa -- Stefano Zacchiroli . [email protected] . https://upsilon.cc/zack _. ^ ._ Full professor of Computer Science o o o \/|V|\/ Télécom Paris, Polytechnic Institute of Paris o o o </> <\> Co-founder & CTO Software Heritage o o o o /\|^|/\ https://twitter.com/zacchiro . https://mastodon.xyz/@zacchiro '" V "' _______________________________________________ nexa mailing list [email protected] https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
