Security Project for QGIS

QGIS QGIS-it-user
,
1

Buonasera gruppo,
vi allego il riassunto fatto (con AI) del webinar [1] (per vedere il webinar dovete prima rispondere al sondaggio) tenuto da Oslandia su questo argomento importante.

[0] Security Project for QGis – Oslandia
[1] Surveys - Zoom

QGIS come un programma per creare e visualizzare mappe, un po' come Google Maps, ma molto più potente e usato da professionisti e organizzazioni. Questo progetto di cui parliamo riguarda il rendere QGIS ancora più sicuro, come blindare una casa o una fortezza digitale.
Ecco il contenuto spiegato in 10 punti, pensato per chi non ha molte competenze informatiche:
•
1. Chi c'è dietro il progetto? Il progetto è guidato da Oslandia, un'azienda francese che si occupa di software "open source" (cioè, il cui codice è pubblico e chiunque può usarlo e modificarlo, come una ricetta condivisa). Oslandia è uno dei maggiori contributori di QGIS e offre molti servizi intorno ad esso. Questo progetto nasce perché, proprio come nel mondo reale, anche nel mondo digitale ci sono sempre più "ladri" (le minacce informatiche) e nuove "regole" (le leggi sulla sicurezza digitale) da seguire.
•
2. Perché è così importante la sicurezza adesso? Ci sono nuove leggi, come il Cyber Resilience Act (CRA) in Europa, che diventeranno obbligatorie dal 2027. Queste leggi chiedono che i software siano molto più sicuri. Se QGIS non si adatta, c'è il rischio che le grandi organizzazioni e le aziende non possano più installarlo o usarlo, perché i loro reparti informatici (quelli che gestiscono i computer) lo bloccheranno per paura di problemi di sicurezza. Questo potrebbe anche far aumentare i costi per chi sviluppa software open source.
•
3. Qual è l'obiettivo principale del progetto? L'idea è di rendere QGIS e QGIS Server (la parte di QGIS che funziona su internet) molto più robusti e sicuri. Ma non solo: vogliono anche che QGIS diventi un esempio da seguire per la sicurezza per altri programmi simili open source, mostrando come si fa a rendere un software sicuro in modo riproducibile.
•
4. Su cosa si concentreranno gli sforzi? Il progetto si focalizzerà principalmente sulla sicurezza del programma QGIS che usi sul tuo computer, e soprattutto su QGIS Server, che è più a rischio perché è spesso esposto su internet. Si occuperanno anche delle "librerie" (pezzi di codice fondamentali) che QGIS usa, come GDAL e PROJ. In base ai fondi disponibili, potrebbero anche includere la versione web di QGIS o QField (un'app per dispositivi mobili).
•
5. Come intendono migliorare la sicurezza (9 punti chiave)? Lavoreranno su diverse aree:
◦
Costruzione affidabile: Assicurarsi che il programma sia sempre "costruito" nello stesso modo, affidabile e che sia "firmato digitalmente" (come un sigillo) per dimostrare che è l'originale.
◦
Analisi del codice: Controllare automaticamente il codice sorgente per trovare errori o punti deboli, e gestire le dipendenze (altri pezzi di software usati da QGIS).
◦
Audit esterni: Chiedere a esperti di sicurezza esterni di controllare QGIS per scoprire eventuali problemi.
◦
Processi di contribuzione sicuri: Garantire che chiunque aggiunga codice a QGIS segua regole molto precise per evitare di introdurre vulnerabilità.
◦
Sicurezza dei plugin: Migliorare la sicurezza dei "plugin", che sono piccole aggiunte che estendono le funzionalità di QGIS (anche se sono difficili da rendere totalmente sicure).
◦
Analisi degli "artefatti": Eseguire controlli automatici (come un antivirus) sui file finali del programma.
◦
Sensibilizzazione della comunità: Formare gli sviluppatori e gli utenti sulla sicurezza e creare documentazione chiara.
◦
Sicurezza della memoria: Concentrarsi su un tipo specifico di errore tecnico (nel linguaggio di programmazione C++) che spesso causa vulnerabilità.
•
6. Quali saranno i vantaggi di tutto questo? QGIS sarà conforme alle nuove leggi, avrà meno rischi di sicurezza e quindi meno "buchi". Questo aumenterà la fiducia nel software, lo renderà più affidabile nella sua costruzione e più facile da integrare nelle grandi aziende. Si avrà anche un maggiore controllo su tutti i componenti che formano QGIS (come una "lista ingredienti" del software, chiamata SBOM).
•
7. Ci sono delle difficoltà o dei rischi? Sì, non è facile! Potrebbe esserci della resistenza al cambiamento da parte degli sviluppatori di lunga data, abituati a vecchie procedure. Dovranno gestire il "debito tecnico" (problemi accumulati nel tempo) di un software così grande e con molte dipendenze. Inoltre, per i nuovi sviluppatori, potrebbe diventare più difficile iniziare a contribuire al codice per via delle nuove regole di sicurezza. Infine, una volta finito il progetto, ci vorranno risorse continue per gestire le vulnerabilità che verranno scoperte in futuro.
•
8. Quanto costa e chi paga? Il progetto è diviso in tre fasi (A, B, C) e il budget totale è di 650.000 euro. La prima fase, quella più fondamentale, costa 290.000 euro. Nonostante sembri tanto, è considerato un importo modesto se si pensa che QGIS viene aperto circa 1 milione di volte al giorno. Il finanziamento è "condiviso", il che significa che cercano grandi aziende che contribuiscano (con un minimo di 5.000 euro), ma anche altre fonti. Attualmente, hanno già discusso di circa 90.000 euro per la prima fase. Tra i contributori attuali ci sono Orange group, Goeb Metropol e SNCF Rizeau.
•
9. Quali sono i tempi? Hanno già iniziato a lavorare su alcune parti tecniche (come la gestione della memoria). La prima fase dovrebbe essere completata tra la fine di quest'anno e l'inizio del prossimo, mentre le fasi più avanzate (B e C) sono previste per la fine del 2027, proprio in tempo per l'entrata in vigore del Cyber Resilience Act.
•
10. Come puoi aiutare? Se sei un'organizzazione, puoi contribuire finanziariamente. Ma soprattutto, chiunque può aiutare diffondendo la voce sull'importanza di questo progetto e incoraggiando altri a partecipare o a contribuire. Se conosci aziende o enti che potrebbero essere interessati alla sicurezza informatica e a sostenere QGIS, puoi metterli in contatto con Oslandia. Se sei un utente, pensa a proteggere i tuoi dati salvandoli in luoghi sicuri come database affidabili, e segui sempre le buone pratiche di sicurezza generale (come non fidarti di email sospette, usare connessioni sicure come HTTPS e VPN). Ricorda che il "rischio zero" non esiste mai in informatica.

oppure ascoltate questo audio creato sempre dall’AI che riassume i 48 minuti di webinar in solo 8 minuti

saluti

2

Il sab 28 giu 2025, 19:10 Totò Fiandaca via OSGeo Discourse <noreply@discourse.osgeo.org> ha scritto:

pigreco
June 28

Buonasera gruppo,

Ciao Totò,

vi allego il riassunto fatto (con AI) del webinar [1] (per vedere il webinar dovete prima rispondere al sondaggio) tenuto da Oslandia su questo argomento importante.

Grazie mille per aver portato alla luce l’argomento.
Alcune domande:

  • come mai proprio oslandia svolgerà questo importante task?
  • qgis foundation destinerà dei soldi su questo progetto?
  • hanno detto qualcosa di più su come vogliono contribuire agli altri progetti tipo gdal e proj?

Grazie mille

[0] Security Project for QGis – Oslandia
[1] Surveys - Zoom

QGIS come un programma per creare e visualizzare mappe, un po' come Google Maps, ma molto più potente e usato da professionisti e organizzazioni. Questo progetto di cui parliamo riguarda il rendere QGIS ancora più sicuro, come blindare una casa o una fortezza digitale.
Ecco il contenuto spiegato in 10 punti, pensato per chi non ha molte competenze informatiche:
•
1. Chi c'è dietro il progetto? Il progetto è guidato da Oslandia, un'azienda francese che si occupa di software "open source" (cioè, il cui codice è pubblico e chiunque può usarlo e modificarlo, come una ricetta condivisa). Oslandia è uno dei maggiori contributori di QGIS e offre molti servizi intorno ad esso. Questo progetto nasce perché, proprio come nel mondo reale, anche nel mondo digitale ci sono sempre più "ladri" (le minacce informatiche) e nuove "regole" (le leggi sulla sicurezza digitale) da seguire.
•
2. Perché è così importante la sicurezza adesso? Ci sono nuove leggi, come il Cyber Resilience Act (CRA) in Europa, che diventeranno obbligatorie dal 2027. Queste leggi chiedono che i software siano molto più sicuri. Se QGIS non si adatta, c'è il rischio che le grandi organizzazioni e le aziende non possano più installarlo o usarlo, perché i loro reparti informatici (quelli che gestiscono i computer) lo bloccheranno per paura di problemi di sicurezza. Questo potrebbe anche far aumentare i costi per chi sviluppa software open source.
•
3. Qual è l'obiettivo principale del progetto? L'idea è di rendere QGIS e QGIS Server (la parte di QGIS che funziona su internet) molto più robusti e sicuri. Ma non solo: vogliono anche che QGIS diventi un esempio da seguire per la sicurezza per altri programmi simili open source, mostrando come si fa a rendere un software sicuro in modo riproducibile.
•
4. Su cosa si concentreranno gli sforzi? Il progetto si focalizzerà principalmente sulla sicurezza del programma QGIS che usi sul tuo computer, e soprattutto su QGIS Server, che è più a rischio perché è spesso esposto su internet. Si occuperanno anche delle "librerie" (pezzi di codice fondamentali) che QGIS usa, come GDAL e PROJ. In base ai fondi disponibili, potrebbero anche includere la versione web di QGIS o QField (un'app per dispositivi mobili).
•
5. Come intendono migliorare la sicurezza (9 punti chiave)? Lavoreranno su diverse aree:
◦
Costruzione affidabile: Assicurarsi che il programma sia sempre "costruito" nello stesso modo, affidabile e che sia "firmato digitalmente" (come un sigillo) per dimostrare che è l'originale.
◦
Analisi del codice: Controllare automaticamente il codice sorgente per trovare errori o punti deboli, e gestire le dipendenze (altri pezzi di software usati da QGIS).
◦
Audit esterni: Chiedere a esperti di sicurezza esterni di controllare QGIS per scoprire eventuali problemi.
◦
Processi di contribuzione sicuri: Garantire che chiunque aggiunga codice a QGIS segua regole molto precise per evitare di introdurre vulnerabilità.
◦
Sicurezza dei plugin: Migliorare la sicurezza dei "plugin", che sono piccole aggiunte che estendono le funzionalità di QGIS (anche se sono difficili da rendere totalmente sicure).
◦
Analisi degli "artefatti": Eseguire controlli automatici (come un antivirus) sui file finali del programma.
◦
Sensibilizzazione della comunità: Formare gli sviluppatori e gli utenti sulla sicurezza e creare documentazione chiara.
◦
Sicurezza della memoria: Concentrarsi su un tipo specifico di errore tecnico (nel linguaggio di programmazione C++) che spesso causa vulnerabilità.
•
6. Quali saranno i vantaggi di tutto questo? QGIS sarà conforme alle nuove leggi, avrà meno rischi di sicurezza e quindi meno "buchi". Questo aumenterà la fiducia nel software, lo renderà più affidabile nella sua costruzione e più facile da integrare nelle grandi aziende. Si avrà anche un maggiore controllo su tutti i componenti che formano QGIS (come una "lista ingredienti" del software, chiamata SBOM).
•
7. Ci sono delle difficoltà o dei rischi? Sì, non è facile! Potrebbe esserci della resistenza al cambiamento da parte degli sviluppatori di lunga data, abituati a vecchie procedure. Dovranno gestire il "debito tecnico" (problemi accumulati nel tempo) di un software così grande e con molte dipendenze. Inoltre, per i nuovi sviluppatori, potrebbe diventare più difficile iniziare a contribuire al codice per via delle nuove regole di sicurezza. Infine, una volta finito il progetto, ci vorranno risorse continue per gestire le vulnerabilità che verranno scoperte in futuro.
•
8. Quanto costa e chi paga? Il progetto è diviso in tre fasi (A, B, C) e il budget totale è di 650.000 euro. La prima fase, quella più fondamentale, costa 290.000 euro. Nonostante sembri tanto, è considerato un importo modesto se si pensa che QGIS viene aperto circa 1 milione di volte al giorno. Il finanziamento è "condiviso", il che significa che cercano grandi aziende che contribuiscano (con un minimo di 5.000 euro), ma anche altre fonti. Attualmente, hanno già discusso di circa 90.000 euro per la prima fase. Tra i contributori attuali ci sono Orange group, Goeb Metropol e SNCF Rizeau.
•
9. Quali sono i tempi? Hanno già iniziato a lavorare su alcune parti tecniche (come la gestione della memoria). La prima fase dovrebbe essere completata tra la fine di quest'anno e l'inizio del prossimo, mentre le fasi più avanzate (B e C) sono previste per la fine del 2027, proprio in tempo per l'entrata in vigore del Cyber Resilience Act.
•
10. Come puoi aiutare? Se sei un'organizzazione, puoi contribuire finanziariamente. Ma soprattutto, chiunque può aiutare diffondendo la voce sull'importanza di questo progetto e incoraggiando altri a partecipare o a contribuire. Se conosci aziende o enti che potrebbero essere interessati alla sicurezza informatica e a sostenere QGIS, puoi metterli in contatto con Oslandia. Se sei un utente, pensa a proteggere i tuoi dati salvandoli in luoghi sicuri come database affidabili, e segui sempre le buone pratiche di sicurezza generale (come non fidarti di email sospette, usare connessioni sicure come HTTPS e VPN). Ricorda che il "rischio zero" non esiste mai in informatica.

oppure ascoltate questo audio creato sempre dall’AI che riassume i 48 minuti di webinar in solo 8 minuti

mega.nz

11.16 MB file on MEGA

saluti

Visit Topic or reply to this email to respond.

You are receiving this because you enabled mailing list mode.

To unsubscribe from these emails, click here.

3

Ciao Luca, ti rispondo incollando le risposte ottenute chiedendo all’AI dopo avergli dato in pasto il video del webinar:

Oslandia svolgerà questo importante compito per diverse ragioni chiave, principalmente legate alla sua profonda esperienza nel software open source e nel settore GIS, e al suo ruolo preminente nello sviluppo di QGIS.

Ecco i motivi principali:

  • Azienda di software open source focalizzata sui GIS: Oslandia è un’azienda francese di medie dimensioni fondata nel 2009, specializzata in sistemi di informazione geografica (GIS) open source. Si definisce un “pure player” nell’open source, contribuendo attivamente allo sviluppo di software e funzionalità principali, e partecipando alle comunità.
  • Esperienza riconosciuta nel settore: L’azienda ha una “rinomata esperienza” nella geomatica open source (FOSS4G) e offre un modello di business basato sui servizi che include consulenza, audit, formazione, sviluppo e manutenzione. Lavora su progetti GIS a livello globale, inclusi progetti di grande scala.
  • Contributore principale di QGIS: Oslandia è uno dei principali e più attivi contributori di QGIS. Fornisce tutti i servizi relativi a QGIS, inclusa formazione, assistenza, manutenzione e sviluppo del core e dei plugin. Questa profonda conoscenza del codice e dell’ecosistema di QGIS la rende particolarmente qualificata per guidare un progetto di sicurezza così critico.
  • Allineamento con la comunità QGIS.org: Il progetto di sicurezza per QGIS è guidato da Oslandia, ma è nato dopo consultazioni con la comunità e con QGIS.org. Questo assicura che il progetto sia “totalmente allineato con la strategia di QGIS.org” e che tutti i contributi verranno portati “upstream”, a diretto beneficio del progetto QGIS nel suo complesso.
  • Risposta alla crescita delle minacce informatiche e delle normative: Il progetto nasce in un contesto di forte crescita delle minacce informatiche e di nuove normative globali sulla cybersicurezza, come il Cyber Resilience Act (CRA) in Europa e iniziative simili negli Stati Uniti (CISA). Essendo un attore chiave e consapevole di queste sfide, Oslandia è in prima linea per migliorare la resilienza di QGIS e garantirne la conformità, prevenendo rischi come il blocco delle installazioni di QGIS da parte dei dipartimenti IT a causa di vulnerabilità.

In sintesi, Oslandia è stata scelta per guidare questo progetto per la sua comprovata esperienza tecnica nel settore GIS e open source, il suo ruolo di sviluppatore principale di QGIS e il suo impegno nel lavorare a stretto contatto con la comunità QGIS per affrontare le crescenti sfide della cybersicurezza.

No, QGIS.org (la QGIS Foundation) non destinerà denaro a questo progetto.

Le fonti indicano chiaramente che, sebbene Oslandia lavori a stretto contatto con QGIS.org e il progetto sia pienamente allineato con la strategia di QGIS.org, QGIS.org non contribuirà finanziariamente.

Il ruolo di QGIS.org sarà piuttosto di supporto, comunicazione e sincronizzazione, con persone e team dedicati di QGIS.org che collaboreranno per assicurare che tutto venga fatto correttamente e a beneficio diretto del progetto QGIS.

Sì, le fonti indicano che l’intento del progetto di sicurezza per QGIS va oltre il solo software QGIS, mirando a beneficiare anche altri progetti software dell’ecosistema OSGeo.

Ecco i dettagli su come intendono contribuire agli altri progetti, inclusi GDAL e Proj:

  • Librerie sottostanti (GDAL, Proj, GEOS): Il progetto di sicurezza non si concentra solo sull’applicazione desktop QGIS e sul QGIS Server, ma include anche le librerie sottostanti come GDAL, Proj e GEOS. Queste librerie sono utilizzate in molti software open source, e in particolare in QGIS. Questo significa che il lavoro sulla sicurezza sarà esteso a queste dipendenze fondamentali.
  • Modello riproducibile per altri software OSGeo: Un obiettivo del progetto è lavorare in modo che l’approccio adottato per QGIS sia riproducibile per altri progetti software OSGeo (Open Source Geospatial Foundation). L’idea è far avanzare il progetto QGIS in termini di cybersicurezza e renderlo un “progetto modello per la sicurezza” in modo che l’approccio possa essere replicato per altri software, se desiderato. In questo modo, l’iniziativa intende contribuire globalmente al bene del software OSGeo in generale.
  • Essere un leader di sicurezza e modello OSGeo: Uno dei benefici attesi del progetto è che QGIS diventi un “leader della sicurezza e un modello OSGeo”.

In sintesi, l’approccio è duplice: migliorare direttamente la sicurezza delle librerie fondamentali (come GDAL e Proj) che QGIS utilizza, e sviluppare processi e pratiche di sicurezza che possano servire da modello e essere replicate da altri progetti open source nell’ambito della geomatica.

saluti