Waarom openbronsoftware zo onveilig kan zijn
Dat de broncode van openbronsoftware beschikbaar is om te bekijken wil niet zeggen dat die ook daadwerkelijk geïnspecteerd wordt en veilig is. Het Heartbleed-fiasco heeft dat nog eens bewezen.
De Heartbleed-bug was twee jaar in de broncode van de populaire software OpenSSL aanwezig en niemand in de openbroncommunity ontdekte het. De wet van Linus, met genoeg ogen zijn alle bugs oppervlakkig, gaat in de praktijk dus niet altijd op.
[related_article id=”161920″]
Nog alarmerender is dat OpenSSL gebruikt wordt in veel soft- en hardwareproducten van commerciële leveranciers, waaronder F5 Networks, Citrix Systems, Riverbed Technology en Barracuda Networks. Geen van hen heeft de code van OpenSSL blijkbaar voldoende doorgelicht voor ze die gebruikten.
“Iedereen veronderstelde dat anderen naar de code keken. Ze waren van mening dat het de verantwoordelijkheid van miljoenen andere mensen was", zegt Mamoon Yunus, directeur van Forum Systems. Hij raadt bedrijven die openbronsoftware gebruiken aan om analysetools op de code los te laten.
Vele te tijdrovend en duur
Het probleem is dat een rigoureuze veiligheidsinspectie van broncode een immens tijdrovende taak is en een hoog vaardigheidsniveau vereist. Dat betekent dat het een vrij dure aangelegenheid is. Kijk maar naar Truecrypt, het encryptieprogramma waarvan de broncode al tien jaar lang beschikbaar is voor iedereen die interesse heeft in de veiligheid.
Het is echter pas recent dat de code een degelijke veiligheidsaudit heeft ondergaan, nadat er 60.000 dollar verzameld is met crowdfunding. Volgens het eerste rapport is de code van Truecrypt rommelig en voldoet deze niet aan de standaarden die we mogen verwachten van veilige code. Tien jaar geleden al kon iedereen dat onderzoeken, maar het is niet gebeurd. Gelukkig dat een aantal bedrijven zich achter het project Core Infrastructure Initiative van de Linux Foundation heeft geschaard om kritieke openbronprojecten te ondersteunen. Dat moet een tweede Heartbleed-drama vermijden.
In samenwerking met Smartbiz.be.