zum Inhalt springen

    Analisi della sicurezza dei software open source

    Tags:

    Nell’ambito di un progetto pilota, l’Istituto nazionale di test per la cibersicurezza NTC, in collaborazione con l’Ufficio federale della cibersicurezza (UFCS), ha verificato l’eventuale presenza di lacune di sicurezza nelle due soluzioni di software open source TYPO3 e QGIS. In entrambi i prodotti sono state riscontrate delle vulnerabilità, che nel frattempo sono state risolte dalla community degli sviluppatori. Il progetto pilota ha dimostrato che verifiche mirate rafforzano la sicurezza dei software open source (OSS) e consentono di aumentare la ciber-resilienza della Svizzera. L’UFCS sta attualmente valutando come istituire in modo permanente e strutturato controlli di sicurezza degli OSS. 

    2025-test-reports-oss

    Leggete i rapporti di controllo completi con i dettagli tecnici su QGIS e TYPO3.

    Oggi il software open source (OSS) è una componente fondamentale dell’infrastruttura digitale anche in Svizzera. Il codice sorgente dell’OSS è pubblicamente accessibile e può essere consultato, sviluppato e migliorato in tutto il mondo dalla community degli sviluppatori. Secondo uno studio condotto dalla Scuola universitaria professionale di Berna, il 97 percento dell’amministrazione pubblica, del sistema educativo, del settore sanitario e dell’industria utilizza OSS in almeno un ambito. L’importanza economica dell’OSS è quindi notevole. Con la diffusione del software open source, però, crescono anche le sfide. Non sempre vengono effettuati controlli di sicurezza periodici e strutturati e, data l’ampia diffusione, in breve tempo le vulnerabilità possono avere ampie ripercussioni su numerose organizzazioni. 

    Un progetto pilota con vari partecipanti

    Consapevole di questi rischi, da novembre 2024 a giugno 2025 l’Ufficio federale della cibersicurezza (UFCS), in collaborazione con l’Istituto nazionale di test per la cibersicurezza NTC, ha condotto un progetto pilota per verificare la sicurezza di software open source. L’obiettivo era quello di testare sul piano tecnico due prodotti OSS molto diffusi e rilevanti nell’amministrazione, TYPO3 e QGIS, di individuarne eventuali vulnerabilità e di risolverle insieme alla community degli sviluppatori. La scelta dei prodotti da verificare è stata effettuata con il coinvolgimento dei responsabili della sicurezza della Confederazione, dei Cantoni e dei Comuni. L’NTC si è occupato dell’analisi tecnica, mentre l’UFCS è stato responsabile del coordinamento e della comunicazione delle vulnerabilità nell’ambito del processo di divulgazione coordinata delle vulnerabilità (CVD). 

    Verifica dei software TYPO3 e QGIS

    TYPO3 è un sistema di gestione dei contenuti (CMS) per la creazione e la gestione di siti web. Viene utilizzato principalmente in grandi organizzazioni quali aziende, università e autorità, poiché è particolarmente adatto per siti web complessi e multilingue. Il controllo di sicurezza ha riguardato diverse versioni di TYPO3 Core e varie estensioni («extension»). Nel corso della verifica sono state individuate un totale di otto vulnerabilità: due in TYPO3 Core, con un livello di gravità basso, e altre sei in varie estensioni, una con livello di gravità «critico», una «alto», tre «medio» e una «basso».

    QGIS è un sistema di geoinformazione (GIS) che consente di acquisire, elaborare, analizzare e visualizzare dati riguardanti il territorio. Viene utilizzato principalmente nella pianificazione ambientale e urbana, nell’ambito della geografia e della ricerca nonché presso le autorità per creare mappe e supportare decisioni basate su geodati. Il controllo di sicurezza ha riguardato il server QGIS e il web client dell’organizzazione QGIS (QWC2). In totale sono stati individuati sei risultati: uno di bassa gravità presso il server QGIS e cinque presso il web client QGIS, di cui due con livello di gravità «alto».

    Tutte le lacune di sicurezza rilevanti sono state risolte dai team di sviluppatori open source responsabili entro il termine di 90 giorni. Le versioni aggiornate di software sono disponibili per il download e i dettagli tecnici sono documentati nei rapporti di verifica e nel Vulnerability Hub dell’NTC.

    Aumentata la ciber-resilienza della Svizzera 

    I feedback dei partecipanti al progetto sono stati interamente positivi. L’UFCS considera il progetto pilota una tappa importante verso una Svizzera digitale sicura e resiliente. In concreto, il progetto ha aumentato la trasparenza riguardo alla sicurezza dei OSS, ha ridotto la superficie di attacco e ha quindi rafforzato la ciber-resilienza. Il progetto pilota, inoltre, contribuisce concretamente alla cibersicurezza globale e sostiene direttamente l’attuazione della Ciberstrategia nazionale (CSN), in particolare l’obiettivo strategico «Servizi e infrastrutture digitali sicuri e disponibili».

    L’UFCS sta attualmente valutando come sostenere e finanziare a lungo termine simili controlli di sicurezza in futuro. Va ricordato che la sicurezza del software open source non è soltanto un compito tecnico, ma anche sociale, oltre che un fattore decisivo per la sovranità e la resilienza digitale della Svizzera.

    Il comunicato stampa dell’UFCS può essere consultato qui.