Vrijwel alle software bevat tegenwoordig open source componenten. Sommige onderzoeken rapporteren dat meer dan 95% van de applicaties één of meerdere open source componenten heeft. Superhandig natuurlijk, maar dit komt wel met een prijs. En die prijs kan heel hoog zijn! De risico’s zitten met name in de licentie waaronder de component gebruikt mag worden en in zogenaamde ‘vulnerabilities’ die mogelijk in de versie van de component zitten, bijvoorbeeld met betrekking tot security.
Licenties en kwetsbaarheden
Er zijn twee soorten open source licenties: ‘permissive’ licenties en ‘copy-left’ licenties. Permissive licenties bieden geen enkele zekerheid over kwaliteit. Deze kunnen worden gebruikt op eigen risico en bieden ‘garantie tot de deur’. Hierbij moet alleen een statement worden gedaan dat de component wordt gebruikt. We zien vaak dat de kwaliteit van deze componenten laag is, en dat er tal van ’vulnerabilities’ inzitten, bijvoorbeeld als er wordt getoetst tegen de Common Vulnerabilities & Exposures (CVE’s) in de National Vulnerability Database die door het ‘National Institute of Standards and Technology (NIST)’ wordt bijgehouden in de USA. Voorbeelden van dit soort licenties zijn de Apache (b.v. Kubernetes en Swift) en MIT (b.v. Angular.js, .Net Core, JQuery) licenties. In deze licenties zitten de risico’s vooral in de vulnerabilities. Vaak worden de open source componenten wel geüpdate door de tijd heen, waarbij de kwetsbaarheden worden verminderd, maar het is geen automatisme dat de ontwikkel- en beheerteams in organisaties dit monitoren en ook een upgrade uitvoeren als er een nieuwe versie beschikbaar is. Het resultaat is dat er vele stukken sterk verouderde open source code in de meeste applicatie landschappen verborgen zit, soms vol met risico’s, waar vrijwel niemand iets van weet, maar die enorme gevolgen kunnen hebben voor de organisatie. Zeker als het bedrijfskritische systemen betreft.
Daarnaast zijn er de ‘Copy-left’ licenties. Deze licenties zijn strenger en verplichten om alle wijzigingen die worden aangebracht ter beschikking te stellen aan de community. Een strenge variant is de GNU-GPL licentie. Als de gebruiker open source componenten onder deze licentie gebruiken in hun eigen source code, worden ze verplicht de gehele source code met de community te delen. Een bekend voorbeeld hiervan is Linux. Hoewel er in componenten onder deze licentie ook risico’s zitten, zeker bij wat oudere versies, zit hier ook een groot risico in de licentie voorwaarden. Vaak is de maatwerk software Intellectual Property van de organisatie die het heeft ontwikkeld of van de organisatie die hier opdracht voor heeft gegeven. Met name kritische systemen zijn extreem belangrijk voor organisaties en ze willen niet dat anderen de broncode kunnen inzien, of zelfs gebruiken. Dit kan een directe impact hebben op de concurrentiepositie immers. Iedereen in de community kan een audit doen of de voorwaarden worden nageleefd, dus deze licenties zijn echt een groot gevaar. Er zijn zelfs organisaties die als doel hebben om bedrijven op te sporen die zich niet aan de voorwaarden houden. Deze spannen dan rechtszaken aan om de voorwaarden af te dwingen.
Kortom, het gebruik van Open Source componenten lijkt handig, maar kan voor reële gevaren zorgen. Metri helpt organisaties om zeer snel een compleet inzicht te krijgen van de gebruikte open source componenten, de licenties, de versies (gebruikte en beschikbare) en de Common Vulnerabilities & Exposures die in de gebruikte versies zitten. Hiertoe gebruiken we een Portfolio Health & Risk scan, waarbij met behulp van een SaaS technologie een scan van alle applicaties in het portfolio wordt uitgevoerd. Dit kan binnen enkele dagen en uw code verlaat de organisatie niet! Zo krijgt u razendsnel een compleet inzicht in de onzichtbare gevaren in uw portfolio en kunnen snel gerichte acties worden ondernomen om deze te verminderen.
Per component wordt ook de complete project tijdslijn getoond, met daarbij de huidige versie en alle andere beschikbare versies, met daarbij de licenties en de bekende vulnerabilities. Zie bijvoorbeeld het volgende screenshot.
Dit inzicht maakt het voor uw ontwikkelaars en beheerders mogelijk om snel en gericht verbeteringen door te voeren en de risico’s te verminderen.
Voorkom dat het onzichtbare gevaar van de door u gebruikte open source componenten uw business in gevaar brengt!
Besparen op IT kosten: 10 tips van Metri
Wie wil er nu overbodige kosten? Niemand. Toch worden ze bij vele bedrijven gemaakt. Terwijl besparen makkelijker is dan u denkt, als je het in één keer goed aanpakt met de juiste partijen aan tafel. En dan gaat het soms maar om een uur werk per dag en voor je het weet heb je een maandelijks overschot van soms duizenden euro’s gerealiseerd. Dat is snel verdiend. Metri helpt je graag op weg naar een gezonder uitgavepatroon en een enorme besparing op de IT-kosten, zodat er ook nog eens gespaard kan worden of nieuwe investeringen gedaan kunnen worden. Kortom: aan de slag!