Cal.com, uno dei più diffusi strumenti open source per la gestione degli appuntamenti e alternativa diretta a Calendly, ha reso privato il suo repository principale. Il progetto, nato nel 2021 con l’open source come principio fondante, cita come motivazione la crescente capacità dei modelli di IA di scansionare automaticamente il codice alla ricerca di vulnerabilità.

Secondo quanto scritto dal co-fondatore Bailey Pumfleet nel post ufficiale, il problema è strutturale: un codebase pubblico diventa una mappa dettagliata per chiunque voglia attaccare il sistema. Come esempio, l’azienda cita il caso di un modello di IA che avrebbe identificato una falla nel kernel BSD rimasta nascosta per quasi trent’anni, generando in poche ore codice sfruttabile. La conclusione a cui arriva Cal.com è che mantenere il codice aperto significa accettare un rischio crescente per i dati degli utenti, e che l’azienda preferisce concentrarsi sul prodotto piuttosto che diventare un’azienda di sicurezza informatica.

// affiliato ▸ Webdock · VPS ultra-veloci scontate del 20% · Vedi i piani →

Cal.diy: cosa resta all’open source

Per non lasciare la community a mani vuote, Cal.com rilascia un fork denominato Cal.diy sotto licenza MIT, più permissiva rispetto alla precedente AGPL 3.0. Il progetto include il motore di pianificazione di base, il sistema di prenotazioni e il framework dell’app store. Quello che manca sono tutte le funzionalità commerciali ed enterprise: la gestione delle organizzazioni, i flussi di lavoro automatizzati, l’SSO via SAML, le analisi e i report, l’intera API v1 e le funzioni di IA per le telefonate. Cal.diy sarà mantenuto da ex stagisti di Cal.com, mentre il team interno si concentrerà sul prodotto commerciale.

Il codebase di produzione, come ammette la stessa azienda, si era già allontanato da quello pubblico nei mesi precedenti all’annuncio: autenticazione e gestione dei dati sono stati riscritti su un repository privato ben prima che la decisione fosse comunicata.

La community, però, non ci crede

Nei thread aperti su Hacker News e Slashdot, la reazione prevalente è di scetticismo. In molti fanno notare che la premessa è fragile: nascondere il codice sorgente non impedisce ai modelli di IA di trovare vulnerabilità, perché gli stessi strumenti sono in grado di analizzare i binari compilati. La sicurezza per oscurità, insomma, non funziona nell’era dell’IA; anzi, secondo alcuni, l’open source offre un vantaggio, permettendo a chiunque di identificare e correggere i problemi più rapidamente di quanto un team interno possa fare da solo.

Altri avanzano un’ipotesi più diretta: Cal.com avrebbe trovato nell’argomento IA una copertura per una decisione già presa per ragioni commerciali, magari dopo aver scoperto in fase di revisione del codice più problemi di quanti fosse disposta a correggere in pubblico.

La mossa non è isolata. Sempre più startup nate open source trovano prima o poi la strada del codice chiuso, con motivazioni che ruotano attorno a sicurezza, sostenibilità economica o controllo del prodotto. Cal.diy resta disponibile per chi vuole installarlo in autonomia, ma lo sviluppo del prodotto principale è ora dietro una porta chiusa.