Moeten fouten in software openbaar gemaakt worden of de doofpot in? Waakhond-organisatie Cert neigt na een verandering van beleid naar meer openheid.
Openheid of terughoudendheid, het is een discussie die al tijden loopt in de computer-gemeenschap. Ontdekte fouten vrijgeven (met code en al), zo zeggen tegenstanders van een liberalere omgang met het probleem, leidt tot een hausse aanscript kiddies; kwaadwillenden die de kwetsbare code uitbuiten en misbruiken. Macus Ranum, veiligheidsexpert en oprichter van de Network Flight Recorder, producent van software voor inbraak-detectie, drong recentelijk om die reden nog aan op volledige geheimhouding waar het de mazen in de veiligheid van software betreft. Makers van instrumenten die gebruik maken van de kwetsbaarheid van software zijn, aldus Ranum en gelijkgestemden, ‘virtuele wapenhandelaars’. Die moet je volgens hardliners tegen elke prijs de wind uit de zeilen nemen.
Inmiddels is deze zienswijze niet langer de meest geaccepteerde in de computer-gemeenschap. Steeds meer veiligheidsexperts bepleiten een grotere – zo niet een totale – openheid. Weliswaar zal dit munitie leveren aan hackers, maar het betekent wel dat klanten zich bewuster zijn van de gevaren van diverse producten. Daardoor zullen ze beter in staat zijn te vergelijken, te wikken en te wegen. Cert (Computer Emergency Response Team) zoekt de gulden middenweg tussen deze uitersten. Afgelopen week maakte het gezaghebbende instituut zijn nieuwe richtlijnen bekend, en kondigde het een beleid aan dat het openbaar maken van software-fouten ondersteunt.
In de praktijk betekent dit dat Cert, dat het in de peiling houden van veiligheidsdreigingen en het publiceren van adviezen aan het publiek tot de kernactiviteiten rekent, zal volharden in het niet openbaar maken van code. Wel stelt het instituut meer eisen aan bedrijven. Een onderneming krijgt 45 dagen de tijd om een fout te verhelpen. Gebeurt dit niet, dan zal Cert bedrijf en softwareproduct met naam en toenaam publiekelijk aan de schandpaal nagelen.
Met deze stap volgt Cert de tendens naar meer openheid in de computerwereld. Een belangrijk effect van dit nieuwe beleid zal zijn dat bedrijven gedwongen worden betere en veiligere software te produceren, zo hopen deskundigen. Het alternatief is immers om voor het oog van de digitale wereld met pek en veren besmeurd te worden. Dat kan nooit goed zijn voor de handel.
