Developers vertrouwen ten onrechte op open-source

31 dec. 2014 door Kristian van Tuil                            

       

Nieuws - Open-source is in 2014 diverse malen zeer onveilig gebleken, kijk maar naar de paniek die ontstond door de openbaring van lekken als Heartbleed, Shellshock en Poodle. Dit waren geen incidenten, waarschuwt Jake Kouns, CISO bij beveiliger Risk Based Security.

Kouns stelt tegenover de IDG News Service dat het een mythe is dat open-source veilig is omdat iedereen ernaar kan kijken. "De realiteit is dat hoewel iedereen de code kan onderzoeken, het in de praktijk nauwelijks gebeurt en verantwoordelijkheid voor de kwaliteit wordt afgeschoven", zegt hij.

"Developers en bedrijven die gebruikmaken van third-party bibliotheken steken nauwelijks resources in het testen van andermans code. Iedereen denkt dat een ander wel lekken zal vinden en dat wat gepubliceerd wordt veilig is."
Afgelopen jaar zijn verschillende kwetsbaarheden gevonden in open-source bibliotheken als OpenSSL, LibTIFF, libpng, OpenJPEG, FFmpeg en Libev, terwijl deze door miljoenen bedrijven gebruikt worden.

'Projecten moeten serieuzer worden genomen'

Bij OpenSSL bleek bijvoorbeeld dat maar één developer zich full-time met het project bezig hield. Te weinig coders op een project en gebruikmaken van verouderde code zijn de grootste redenen voor de onveiligheid van open-source, stelt Risk Based Security.