Infoworld

Het gebruik van open source-software brengt in veel gevallen grote risico’s met zich mee. De makers van de software reageren niet of veel te laat op vragen en opmerkingen over de veiligheid in hun programmatuur. Dit blijkt uit het onderzoek ‘Open Source Study – How Are Open Source Development Communities Embracing Security Best Practises?’ van Fortify Software, dat maandag naar buiten werd gebracht. In het onderzoek werden elf open source-softwarepakketten getest, inclusief de reacties van de makers op beveiligingsproblemen, over een periode van drie maanden. Het doel was te zien hoe de makers van open source-softwarepakketten reageren op beveiligings-issues, zoals kwetsbaarheden in hun software, en of (en hoe snel) ze met deze vondsten de veiligheid van de programma’s konden vergroten.

Open source-applicatie server Tomcat scoorde het beste in het onderzoek. De tien overige applicaties, tools en databasepakketten – Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin en Struts – scoorden allemaal opvallend slecht.

Mailadres

Onder deze tien pakketten scoorde JBoss hoger door een verwijzing naar informatie over beveiliging op een prominente plaats op de website te zetten en door betere toegang tot beveiligingsexperts mogelijk te maken. Maar JBoss had geen specifiek e-mailadres voor het aankaarten van beveiligingsrisico’s, waardoor de score weer omlaag ging.

“Je wilt bugs niet rapporteren via een algemene mailinglijst”, stelt Jacob West, manager beveiligingsonderzoek bij Fortify. Volgens hem vraagt het reporteren van bugs om vertrouwelijkheid, al was het maar om te voorkomen dat de informatie misbruikt wordt voordat een oplossing beschikbaar is.

Bereikbaarheid

Programmeurs die hun open source-software gratis aanbieden, lijken minder dan hun commerciële concurrenten na te denken over beveiliging, volgens West. Fortify trof maar liefst 22.826 cross-site scripting en 15.612 SQL injectie-issues aan in de verschillende geteste open source-pakketten. Toen Fortify de gemeenschappen achter de open source-software probeerde te benaderen via een contactpagina op de website of een algemeen mailadres, merkte West dat er in tweederde van de gevallen geen reactie kwam. “Er zijn geen telefoonnummers. Waar moet je zijn voor informatie? Het is vaak zelfs lastig te achterhalen wie precies verantwoordelijk is voor die software.” Volgens het rapport claimen open source-pakketten software van een professioneel niveau, maar storen de makers zich niet aan de best practices uit de industrie – ze negeren ze zelfs. ‘Slechts enkele open source ontwikkelingsteams gaan de goede kant op.’

Volgens Jacob West werd het onderzoek niet uitgevoerd om open source-software te veroordelen, maar slechts om aan te tonen dat de beveiliging in de applicaties moet verbeteren, juist omdat steeds meer bedrijven en overheden de software gebruiken.

Op jezelf aangewezen

“Als het aankomt op het gebruik van open source-software binnen het bedrijfsleven, moet je beide ogen goed openhouden”, zegt Howard Schmidt, voormalig hoofd cyberbeveiling bij de Amerikaanse regering en nu werkzaam bij Fortify. Hoewel open source-software in sommige gevallen goedkoper en net zo functioneel lijkt als commerciële software, moet het vraagstuk over onderhoud goed worden onderzocht, volgens Schmidt. “Wie vraag je om hulp? Hoe moeten die duizenden bedrijven die Geronimo draaien ooit om hulp vragen?”

“Je staat er eigenlijk alleen voor, behalve als je vooraf al afspraken maakt”, aldus Schmidt. Bedrijven moeten dus vooraf onderhandelen over support betreffende de open source-pakketten. Overheden en bedrijven moeten voor zichzelf beslissen of ze zelf problemen met open source-software proberen aan te pakken. Dit kan door de broncode te controleren. Maar geven ze hun eventuele bevindingen daarna ook door aan de makers van de software en de open source community? Dat is volgens West de fundamentele vraag.

Bron: CIO.com.au