Open source is al sinds jaar en dag populair, vooral voor toepassingen als databases, storage, analytics, cloud management tools en in toenemende mate ook security. Hoewel open source vanaf de start juist werd geroemd om het hogere veiligheidsniveau zijn de risico’s door een combinatie van populariteit en een flinke toename van kwetsbaarheden flink gestegen. Het is tijd voor maatregelen.
Open broncode speelt tegenwoordig een belangrijke rol in grote vernieuwingsprojecten zoals digitale-transformatieprojecten. Volgens onderzoek van Red Hat speelt open source bij 40 procent van dit soort grote veranderingstrajecten een aanzienlijke rol. Dat open source serieuze business is geworden waarin grote bedragen omgaan, zie je ook af aan de recente aankoop van Red Hat door IBM. En wat te denken van de acquisitie van GitHub door het concern dat juist op gesloten software zijn succes heeft gebouwd: Microsoft.
Zorgwekkend
Er zit een flinke keerzijde aan de wijdverbreidheid van open source. De uitkomsten van een andere studie door open source security platform Snyk, onder 500 respondenten die verantwoordelijk zijn voor onderhoud van open source software, zijn zorgwekkend. Omdat sommige open source frameworks en applicaties veel in gebruik zijn, zijn ze uitgegroeid tot een aantrekkelijk doelwit voor hackers. Aan aanvalsmogelijkheden geen gebrek. In twee jaar tijd is er een groei van 88 procent waar te nemen in het aantal kwetsbaarheden. En alleen al in 2018 vonden onderzoekers 500 kwetsbaarheden.
Net als bij reguliere software denken veel gebruikers dat de ontwikkelaars security serieus nemen. Maar terwijl een zeer ruime meerderheid van gebruikers van open source verwachten dat ontwikkelaars prioriteit geven aan security in hun softwarecode, denken slechts drie op de tien ontwikkelaars dat ze voldoende kennis hebben van beveiliging. En bijna vier op de tien developers testen dan ook helemaal niet op security gedurende continuous integration (CI). Verbaast het dan nog dat het bij open source gemiddeld meer dan twee jaar duurt voordat een gesignaleerde kwetsbaarheid wordt verholpen?
Uitblijvende patches
Aan de gebruikerskant is het automatisch aanbrengen van patches problematisch. Voor op Windows en Linux gebaseerde applicatielandschappen zijn er tal van volwassen oplossingen voor automatisch patch management voorhanden. In veel gevallen worden deze volledig ondersteund door de softwareleverancier, zodat de window of opportunity voor kwaadwillenden beperkt blijft. Maar voor open source zijn deze oplossingen dun gezaaid, waardoor veel systemen onnodig lang gevaar lopen. Dit komt dus nog bovenop de al eerdergenoemde twee jaar voordat er een oplossing voor een fout opgeleverd wordt.
Zo kon het credit ratings bureau Equifax – en meer dan 140 miljoen argeloze consumenten in de VS, Canada en het VK – in 2017 slachtoffer worden van een van de meest omvangrijke datadiefstallen ooit, door een remote code execution die kon worden ingezet vanwege een ontbrekende patch in Java webapplicatie-software van Apache. Een inbraak die eenvoudig voorkomen had kunnen worden, ware het niet dat de relevante verantwoordelijken bij Equifax even niet zaten op te letten – en al helemaal niet beschikten over een automatische patch-oplossing.
Als de enthousiaste open source community daarom eens één procent van zijn tijd in volwassen patch-oplossingen zou investeren, zou zij die reputatie kunnen hooghouden, ofschoon het genoemde Snyk, dat ontwikkelaars helpt kwetsbaarheden vóór te zijn, zeker een stap in de goede richting is. Dit soort hulpmiddelen zijn onontbeerlijk om adequaat zicht te krijgen op de afhankelijkheden tussen open source softwarebibliotheken en de risico’s die hieruit voortkomen.
Intellectueel eigendom
Ook de onduidelijke intellectuele-eigendomsstructuur van open source is reden tot zorg. Zoals bijna alle software een opeenstapeling is van code afkomstig van diverse bronnen, is dit juist bij open source een complicerende factor. Wie commerciële software afneemt, is met één klik op de gebruikerslicentie van eventueel gedoe bevrijd.
Maar wie er zeker van wilde zijn dat er bij het gebruik van open source geen rechten worden geschonden, moest tot voor kort handmatig allerlei documentatie doorpluizen, omdat open source regelmatig op zogenaamde dual-licensed projects is gebaseerd. Sommige open source licenties verplichten organisaties die deze code voor hun project gebruiken het resultaat te delen met de community door de broncode openbaar te maken.
Broncode scannen
Als een organisatie voor een belangrijk deel gebruik maakt van open source software is het verstandig om met een scan van de broncode veiligheidsrisico’s in kaart te brengen. Frequente inzet van software composition analysis (SCA) kan hier een oplossing voor zijn. Daarmee verzeker je je ervan dat software die in ontwikkeling is of reeds wordt gebruikt, voldoet aan beveiligingsstandaarden, juridische vereisten én regulering.
METRI heeft in samenwerking met partner Cast een dienst ontwikkeld, die gebruik maakt van het product Cast Highlight. Deze SaaS-oplossing voert een scan van de broncode uit op applicaties die op open source gebaseerd zijn. De tool scant de werkelijke bron van de software die in gebruik is, en kijkt daarbij zowel naar compliance, kwetsbaarheden en verouderde code door de code te vergelijken met een enorme database van meer dan 20 miljoen open source componenten en 3 miljard file fingerprints.
Met deze informatie en check kan open source op een verantwoorde wijze een belangrijke rol blijven spelen in de vernieuwing van IT en digitalisering van de business.
Meer informatie over deze dienst en Cast Highlight.