Open source software brengt ook (grote) risico's met zich mee
Ondanks dat open source software vanaf zijn geboorte in het bijzonder werd geroemd om zijn hogere veiligheidsniveau, zijn de securityrisico’s door een grote toename in populariteit flink gestegen. “Het is tijd voor maatregelen”, aldus Frank Vogelezang van METRI. De redactie van Consultancy.nl ging hierover met hem in gesprek.
Vandaag de dag speelt open source software een belangrijke rol in vele vernieuwingsinitiatieven zoals digitale transformatieprojecten, zegt Frank Vogelezang, Senior Consultant Financial Data Analysis bij METRI: “Volgens onderzoek van Red Hat speelt open source bij 40% van dit soort grote veranderingstrajecten een aanzienlijke rol. Dat open source software serieuze business is geworden waarin grote bedragen omgaan, zie je ook af aan de recente aankoop van Red Hat door IBM. En wat te denken van de acquisitie van GitHub door het concern dat juist op gesloten software zijn succes heeft gebouwd: Microsoft.”
Zorgelijke toestanden
Volgens Vogelezang zit er een serieuze keerzijde aan de wijdverbreidheid van open source software: “De uitkomsten van een andere studie, uitgevoerd door open source security platform Snyk onder 500 respondenten die verantwoordelijk zijn voor onderhoud van open source software, zijn zorgwekkend. Omdat sommige open source frameworks en applicaties veel in gebruik zijn, zijn ze uitgegroeid tot een aantrekkelijk doelwit voor hackers. Aan aanvalsmogelijkheden geen gebrek. In twee jaar tijd is er een groei van maar liefst 88% waargenomen van het aantal kwetsbaarheden. En alleen al in 2018 vonden onderzoekers zeker 500 kwetsbaarheden.”
Net zoals bij reguliere software denken veel gebruikers van open source software dat de ontwikkelaars serieuze veiligheidsmaatregelen nemen. Dat blijkt echter niet het geval, legt Vogelezang uit: “Terwijl een zeer ruime meerderheid van open source-gebruikers verwachten dat ontwikkelaars prioriteit geven aan security, denkt slechts 30% van de open source- ontwikkelaars dat ze over voldoende beveiligingskennis beschikken. En bijna 40% van de open source-ontwikkelaars test hun software helemaal niet op security gedurende de continuous integration. Het is dus niet zo verbazingwekkend dat het bij open source software gemiddeld meer dan twee jaar duurt voordat een gesignaleerde kwetsbaarheid wordt verholpen.”
Waar blijven de juiste patches?
Terwijl er voor op Windows en Linux gebaseerde applicatielandschappen tal van volwassen oplossingen voor automatisch patch management voorhanden zijn, is het automatisch aanbrengen van patches bij open source software problematisch voor gebruikers, geeft Vogelezang aan: “Voor open source zijn automatische en adequate oplossingen op dit gebied dun gezaaid, waardoor veel systemen onnodig lang gevaar lopen. En dit komt dus bovenop de hierboven genoemde twee jaar die nodig is voordat een gesignaleerde kwetsbaarheid verholpen kan worden.”
Zo kon het credit ratings-bureau Equifax – en ruim 140 miljoen argeloze consumenten uit de Verenigde Staten, Canada en het Verenigd Koninkrijk – in 2017 slachtoffer worden van een van de meest omvangrijke datadiefstallen ooit, zegt Vogelezang: “Dat gebeurde door een zogenaamde ‘remote code execution’ die kon worden uitgevoerd vanwege een ontbrekende patch in de Java webapplicatie-software van Apache. Een inbraak die men eenvoudig had kunnen voorkomen, ware het niet dat de verantwoordelijken bij Equifax even niet zaten op te letten en niet beschikten over een automatische patch-oplossing.”
Volgens Vogelezang zou het een stap in de goede richting zijn als de wereldwijde open source community daarom slechts één procent van zijn tijd zou steken in volwassen patch-oplossingen om ervoor te zorgen dat open source ontwikkelaars in het vervolg dergelijke kwetsbaarheden voorzijn: “Dit is beslist noodzakelijk om adequaat zicht te krijgen op de afhankelijkheden tussen open source softwarebibliotheken en de risico’s die hieruit voortkomen.”
Intellectueel eigendom
Verder stelt Vogelezang dat ook de tamelijk onduidelijke intellectuele eigendomsstructuur van open source software een serieuze reden tot zorg is: “Zoals bijna alle software een opeenstapeling is van code van diverse bronnen, is dit juist bij open source software een complicerende factor. Wie commerciële software afneemt, is met één klik bij het gebruikerslicentievenstertje van eventuele juridische misstappen bevrijd. Dat is bij open source software niet het geval.”
Wie er zeker van wilde zijn dat hij of zij bij het gebruik van open source software geen rechten zou schenden, moest tot voor kort handmatig allerlei documentatie doorpluizen, omdat open source software regelmatig op zogenaamde dual-licensed projects is gebaseerd, licht Vogelezang toe: “Sommige open source licenties verplichten organisaties die deze code voor hun project gebruiken het resultaat te delen met de community door de broncode openbaar te maken. Maar dan moet je daar natuurlijk wel van op de hoogte zijn, wat niet iedereen is.”
Het scannen van de broncode
Wanneer organisaties voor een aanzienlijk deel gebruik maken van open source software, dan is het verstandig om met een scan van de broncode veiligheidsrisico’s in kaart te brengen, laat Vogelezang weten: “Frequente inzet van een ‘software composition analysis’ (SCA) kan hier een passende oplossing voor zijn. Daarmee verzekert een organisatie zichzelf ervan dat software die in ontwikkeling is of reeds wordt gebruikt, voldoet aan beveiligingsstandaarden, juridische vereisten én regulering.”
METRI heeft in samenwerking met partner Cast een dienst ontwikkeld, die gebruikmaakt van het product ‘Cast Highlight’. Deze SaaS-oplossing voert een scan van de broncode uit op applicaties die op open source software gebaseerd zijn. “De tool scant de werkelijke bron van de software die in gebruik is en kijkt daarbij zowel naar compliance, kwetsbaarheden en verouderde code door de code te vergelijken met een enorme database met daarin meer dan twintig miljoen open source-componenten en drie miljard file fingerprints. Op basis hiervan kan open source software op een verantwoorde wijze een belangrijke rol blijven spelen in de IT- vernieuwing en digitaliseringstransformatie van een organisatie”, besluit Vogelezang.