Ciao Maurizio e Giovanni,
su questo tema del riuso software whistleblowing percepisco che ci sia una certa complessità da dipanare.
Facendo una fotografia ad oggi ci sono parecchie centinaia di pubbliche amministrazioni che già usano GlobaLeaks (oramai abbiamo perso il conto, ne scopriamo di nuove da google alert e dalle richieste di supporto fra forum ed email), addirittura stanno nascendo tante aziende che erogano servizi sulla base del software (ne ho contate 5, facendo un censimento da ricerca su google), di cui una ha realizzato proprio il sistema di Whistleblowing di Agid (usando una versione lievemente modificata di GlobaLeaks) il quale lo aveva già messo in riuso nel catalogo riuso.
Per cui per Maurizio, se dovessi rispondere alle domande:
Ma GlobaLeaks è già in riuso?
Si nella forma, fatto da Agid 1-2 anni orsono con il vecchio catalogo riuso, ma in una edizione del software modificata da una delle società private con finalità di lucro che lo sta installando in giro (società privata che purtroppo non ha poi contribuito al progetto opensource con pull request, ha fatto un fork privato che si è trovata a non mantenere aggiornato, uno dei potenziali rischi che si potrebbero correre con il riuso ANAC).
Si, nella sostanza, con centinaia di aziende pubbliche e aziende private controllate dal pubblico che lo hanno installato e ogni giorno lo installano (contiamo 5-6 installazioni al giorno e alcuni deployment che abbiamo visto hanno anche 40-50 enti attivati sullo stesso server).
Tuttavia quanto messo in riuso non è quanto effettivamente poi usato e diffuso come adozione allo stato corrente.
Consideriamo che, dato che gli enti pubblici adoperano il sistema di whistleblowing digitale sulla base delle linee guida ANAC, che è anche il soggetto deputato a verificare, ispezionare ed eventualmente sanzionare, l’edizione software GlobaLeaks in riuso ANAC sarebbe quella che teoricamente prenderebbe maggiore adozione laddove dovesse esistere sotto forma di fork().
E’ nostro impegno come Centro Hermes, una volta che ANAC rilascerà qualsivoglia modifica software o questionario, di integrarlo nel software GlobaLeaks per renderlo a disposizione dietro un bottone di un “Profilo di configurazione ANAC”, visto che già oggi ci sono interlocuzioni per fare i “Profili di configurazione” per Comuni, ASL, Anticorruzione in Spagna, e così via.
In questo modo le centinaia di PA che in autonomia hanno già installato il software, potranno essere “allineate” e avere la manutenzione comunitaria che oggi esiste del progetto e la “compliance” con le feature/questionari/modelli rilasciati ANAC.
Come commento/considerazione in merito a potenziali criticità inerenti la manutenzione evolutiva del progetto di Whistleblowing Digitale in ambito ANAC:
- non pare essere esposta né una roadmap; né un bucket di ticket di sviluppo pubblici;
- l’aggiudicatario del bando che dovrebbe occuparsi della MAD/MAC non pare occuparsi di questo tema/progetto in modo specifico (da ricerca online pare faccia principalmente servizi di helpdesk in outsourcing);
- nel bando specifico non sono in alcun modo indicate come attività da svolgere tutte quelle necessarie sia al rilascio in riuso (che non è la mera pubblicazione sul vecchio catalogo riuso come erroneamente spesso interpretato da giuristi non avvezzi di tecnologia) sia necessarie al supporto e gestione della comunità di utilizzatori e futuri contributori del progetto, quindi chi se ne occuperà?
In generale a riguardo di GlobaLeaks penso che il modello di riuso da parte di ANAC dovrebbe almeno:
- considerare lo status quo di diffusione della tecnologia e l’assenza di un piano di manutenzione evolutiva dello stesso
- considerare la criticità di assenza di un percorso di sviluppo che “nasce collaborativo” e che avrebbe quindi delle legittime-naturali difficoltà nel diventarlo ex-post (se non, IMHO, tramite l’integrazione delle minori modifiche apportate da ANAC all’interno del software GlobaLeaks, task che comunque noi faremo a prescindere)
- vedere coinvolti da T-0 tutti gli stakeholder della tecnologia sottostante (ovvero anche noi, ma anche le varie aziende ed enti pubblici che ci stanno mettendo mano nel percorso di adozione);
Tutto ciò sarebbe necessario per non ingenerare ulteriori dubbi e incertezze, come quelli sottolineati da @silva ed altri.
Scriverò a breve ai contatti con cui due anni orsono facemmo il workshop con ANAC che ha dato inizio alla sua sperimentazione proponendogli se volessero dal punto di vista implementativo affrontare il riuso come ha fatto la Città di Barcellona, dove:
- sono state fatte delle personalizzazioni reintegrando upstream tutte le funzionalità aggiuntive realizzate
- sono stati predisposti opportuni profili di configurazione che possono essere applicati dagli utilizzatori (e questi sono oggi redistribuità dalla città di barcellona)
- le modifiche saranno entro un paio di mesi integrate nel software a vantaggio del progetto stesso e della sua intera comunità di utenti, usando la nuova feature dei “Profili di Configurazione”
Con la Città di Barcellona abbiamo anche convenuto quali testi dovranno essere sulla pagina web di GlobaLeaks in catalano per sottolineare l’evidenza del progetto nell’ambito della PA della Catalogna, lo stesso si potrebbe fare per il sito globaleaks in Italiano.
Certo è che, la legittima domanda che mi porrei come ANAC, in quale modo mi posso accordare in merito alla governance del progetto, ovvero le regole di “open-governance” che per quello che ho inteso saranno definite dalle nuove linee guida riuso di prossimo rilascio ?
Cioè in quale modo potere garantire l’ente pubblico ANAC che il software GlobaLeaks rispecchi sempre, nel tempo, le sue linee guida e che un domani non cambi il suo scopo e inizi a mostrare nyancat javascript che girano per lo schermo come easter-egg del primo aprile?
Ecco, su questo ho proprio una domanda aperta, che si dovrà porre nelle linee guida riuso che andranno in consultazione, perché tanti saranno gli enti pubblici che baseranno il loro sviluppo sulla base di un progetto open-source esistente, faranno fare le modifiche software necessarie al suo specifico scopo d’uso alla azienda X o alla in-house Y, ma a quel punto si troveranno di fronte a due scelte:
a) Fare un fork() del progetto OSS da cui sono partiti e assorbire tutto l’oneroso l’impegno di manutenzione correttiva ed evolutiva senza beneficiare dei contributi del progetto principale, magari trovandosi dopo uno o due anni indietro di migliaia di commit, features e bugfixes
b) Contribuire al progetto originale da cui sono partiti con delle pull requests, ma in questo caso non avrebbero garanzie “contrattuali” (e nella PA le garanzie sono tutto) né che le modifiche saranno integrate né che saranno manutenute nel tempo. Magari i maintainer del progetto open-source su cui si sono basati non sono neanche in Italia e ci sono difficoltà linguistiche nel dialogarci.
E’ ovvio che sarebbe sempre meglio evitare fork, soprattutto quando si fanno minori modifiche, ma questo richiede che vi sia una costante partecipazione al progetto e che vi sia una disponibilità del progetto open-source su cui la PA ha sviluppato ad avere un modello di governance che fornisca alla PA le “garanzie” che le features di cui ha bisogno rimangano e soprattutto vengano integrate.
In uno scenario simile, come venirne fuori e risolvere affinché ci sia sia la massima efficienza operativa con riduzione costi (quindi no-fork() e distribuzione del costo di manutenzione evolutiva e correttiva sulla comunità esistente) ma ci siano le “garanzie” necessarie affinché l’ente pubblico sia tranquillo che lo strumento software faccia sempre quel che dovrebbe fare e includa sempre le modifiche software che gli sono necessarie?
Mi sembra un problema interessante da affrontare, ragionare e risolvere, al di là del caso specifico GlobaLeaks, perché penso che si porrà numerose volte con le nuove linee guida riuso, e nessuno auspica di vedere centinaia di fork() di progetti opensource fatti dalla PA italiana (pensiamo a fork della PA italiana di wordpress, django, jboss, apache, postfix, nginx, amavis, discourse, insomma non avrebbe molto senso…)
Quale sarebbe l’indirizzo/suggerimento che Agid e Team Trasformazione Digitale darebbero in un caso simile?
Fabio
.