Open source maakt kwetsbaar

Open source maakt kwetsbaar

Open source software is volgens voorstanders niet alleen goedkoper maar vooral beter en veiliger dan bedrijfseigen software. De praktijk blijkt weerbarstig. ICT blijft beheerwerk vereisen en open source is daarop geen uitzondering.

De internationale ransomware-infectie door de WannaCry-worm heeft duidelijk gemaakt dat bijblijven met Windows-patches essentieel is voor digitale veiligheid. De discussie naar aanleiding van WannaCry omvat ook nut en noodzaak van open source software. Stemmen gaan op om het veel aangevallen Windows te vervangen door open source besturingssysteem Linux.

 

Ver doorgedrongen

Open source is allang doorgedrongen in vele systemen en toepassingen. Dit blijkt uit een audit door open source specialist Black Duck Software. Open source code en componenten zijn in gebruik in 96 procent van de 1071 applicaties die Black Duck in 2016 heeft geanalyseerd. In de praktijk liggen bepaalde ict-gebieden nog wel buiten bereik, zoals de pc-desktop en diverse daarmee geïntegreerde servertoepassingen. Het pro closed source argument van integratie wordt door open source voorstanders wel gepareerd met het argument van veiligheid.

 

Argument van vele ogen

De redenatie is dat open source software door de inzichtelijke aard ervan gekeurd en verbeterd kan worden door vele experts. Deze open aanpak betekent echter niet per definitie dat open source veilig is. Recente grote security-incidenten als Heartbleed, Poodle, Freak en Shellshock hebben dit al aangetoond. Het ging daarbij om nieuw ontdekte kwetsbaarheden in wijdverbreid gebruikte code.

Bestaande applicaties blijken echter ook oude, allang bekende open source problemen te bevatten. Meer dan 60 procent van de door Black Duck onderzochte applicaties heeft security-kwetsbaarheden in de open source componenten. Gemiddeld genomen zijn deze kwetsbaarheden al meer dan vier jaar bekend. De gebruikte code is dus niet goed bijgehouden.

 

Financiële software

De 1071 geanonimiseerde applicaties in deze audit vallen uiteen in verschillende sectorgerichte toepassingen. De top drie van slechtst presterende applicaties zijn: 1) retail- en e-commerce software, 2) financiële software en 3) internet- en infrastructuurtoepassingen. Financiële software blijkt gemiddeld 52,5 open source kwetsbaarheden per applicatie te bevatten. Hierbij heeft 60 procent van die applicaties kwetsbaarheden met een hoog risico.

Nog slechter scoren toepassingen voor internet en ict-infrastructuur. Die categorie software heeft weliswaar ‘slechts’ 33 kwetsbaarheden in de gebruikte open source code per applicatie. Maar het percentage ernstige kwetsbaarheden ligt op maar liefst 70 procent. Bij de ‘winnaar’ – software voor retail en e-commerce – ligt het aantal kwetsbaarheden per applicatie op gemiddeld 51,8 stuks, maar de ernst ligt op een forse 83 procent.

 

Slechte cybersecurity

Ironisch genoeg doen ict-beveiligingstoepassingen het ook niet best. Het gebruik van open source bezorgt deze softwarecategorie gemiddeld 39 kwetsbaarheden per applicatie en een percentage van 59 procent voor ernstige kwetsbaarheden per applicatie. Software voor luchtvaart, vervoer en logistiek scoort het beste in de top vijftien van sectoren waarvoor Black Duck 1071 applicaties heeft ge-audit.

 

jasper