Veel organisaties maken, vaak onbewust, gebruik van open source-software. De gemiddelde applicatie bestaat zelfs al voor 30 procent uit open source-code. Dat heeft implicaties voor de veiligheid van de bedrijfssoftware, meent director channel & alliance bij Black Duck Software, Kevin Bland. Black Duck is een softwarebedrijf dat inzet op veilig gebruik van open source-code. Bland was begin deze maand aanwezig op Infosecurity en legt uit waarom goede beveiliging bij open source-software extra belangrijk is.
Het Amerikaanse softwarebedrijf Black Duck richt zich op veilig gebruik van open source-code. Waarom? ‘Open source-code gebruiken maakt je flexibel en snel, maar organisaties lopen met open source ook een aantal risico’s’, zegt Kevin Bland, director channel & alliance bij Black Duck. De meerderheid van deze organisaties weet niet dat hun applicaties open source-software bevatten en dus ook niet welke kwetsbaarheden daardoor ongemerkt in hun systemen zitten, legt hij uit. ‘Toch is de werkelijkheid dat zeker 30 procent van een applicatie bestaat uit open source-code. En dit zal de komende twee à drie jaar toenemen tot 80 procent.’
Deze toename heeft volgens Bland te maken met het feit dat veel ontwikkelaars hun kennis willen delen en bij willen dragen aan de community. Daarnaast is het door dingen als social media ook ontzettend makkelijk om snel informatie te delen.
Open source vs. bedrijfseigen
In alle software wordt zo nu en dan een kwetsbaarheid ontdekt. Wat daar vervolgens mee gebeurt, is volgens Bland afhankelijk van de soort code waarmee je te maken hebt. ‘Is de code open source, dan wordt de kwetsbaarheid voor iedereen openbaar gemaakt. Zit de kwetsbaarheid in de code die door het bedrijf zelf is geschreven, dan wordt de kwetsbaarheid wel aan het bedrijf zelf bekend gemaakt, maar wordt deze vaak niet publiek gemaakt voordat het lek is gedicht. Het risico bij de manier van handelen bij open source-code is dat kwetsbaarheden op die manier al bekend worden gemaakt en op die manier ook bij hackers terecht komt, voordat het probleem is opgelost.’
Om die reden is het voor bedrijven volgens Bland essentieel om zo snel mogelijk te weten welke nieuw ontdekte kwetsbaarheden in open source-code ook betrekking hebben op de software die in de organisatie wordt gebruikt. Black Duck registreert alle bekende kwetsbaarheden in open source-code in hun zogenaamde ‘knowledge base’. Dit is volgens Bland de grootste database op dit gebied wereldwijd.
Hij benadrukt dat open source-software niet per definitie risicovoller is dan bedrijfseigen software. ‘Open source- en bedrijfseigen code zijn gewoon anders. Organisaties moeten dit dan ook op een andere manier beveiligen en daar moeten zij zich bewust van zijn.’
Andere manier van testen
Wat volgens hem bijvoorbeeld niet werkt bij open source-software, is statisch testen. ‘Neem bijvoorbeeld Heartbleed, het lek in de open source-implementatie van het ssl- en tls-protocol OpenSSL, aldus Bland. ‘Dat werd regelmatig statisch getest, maar uiteindelijk werd het lek ontdekt door een persoon die gewoon naar de code keek.’
Black Duck test software dan ook op een andere manier, legt hij uit. ‘Eerst zoekt onze tool het open source-deel uit de applicatie op. Vervolgens worden de open source-softwarecomponenten gekoppeld aan de bijbehorende licentie-restricties en de reeds bekende kwetsbaarheden. Daarna wordt hier een actieve monitoring tool op gezet, zodat er constant in de gaten wordt gehouden of er nieuwe kwetsbaarheden in de open source-software zitten. Zodra er een lek wordt gevonden, wordt dit aan de organisatie doorgegeven.’
Vervolgens is het aan de organisatie zelf om actie te ondernemen. Black Duck biedt zelf geen oplossingen aan om de kwetsbaarheden te verhelpen. ‘Dat kunnen soms heel ingewikkelde trajecten zijn waar wij ons niet in gaan mengen. Maar daar liggen wel kansen voor partners natuurlijk’, zegt Bland, die ook in de Benelux-markt ruimte ziet voor samenwerking.
Toekomstplannen
Black Duck is bezig uit te breiden naar andere landen. Voor potentiële partners betekent dit dat zij daarmee de mogelijkheid hebben om open source-testing aan hun klanten aan te bieden. Dit is volgens Bland een onderscheidende factor voor partijen binnen het kanaal. ‘Ze kunnen naar hun klanten stappen en zeggen: dit is iets waar je nog niet aan hebt gedacht, maar wat wel van belang is. Daarnaast is onze tool een mooi antwoord op de meldplicht datalekken.’
“welke kwetsbaarheden daardoor ongemerkt in hun systemen zitten”
Black Duck, ik wist niet dat WC-eend ook in een zwarte uitvoering bestond.
In alle onderzoeken over closed versus open source komt eenduidig naar voren dat er ofwel geen verschil in de security is of een licht voordeel bij open source waar lekken sneller gepatched worden.
Van dat soort eigen reklame op kosten van communities wordt ik een beetje moe.
@Jan: ik ben het met je eens als het gaat om de reclame, maar deze zwarte eend kan wel eens praktisch zijn om andere redenen dan de security, namelijk het inzicht van wat je gebruikt.
Als je jouw product commercieel verhandelt, en je maakt gebruik van open source snippets en/of producten in jouw product, dan moet je aan een aantal voorwaarden voldoen (afhankelijk van het licentiemodel).
Black Duck geeft je inzicht in wat je gebruikt, waarmee je verrassingen (lees: claims achteraf) kunt voorkomen.
2 minpuntjes die ik me uit een pilot hiermee kan herinneren:
– Onduidelijk welke informatie over jouw product naar hun server gestuurd wordt.
– de prijs
@PaVaKe
begrijp ik het goed, je hebt Black duck nodig als je je zaakjes niet op orde hebt . . .
Foss is er al zo lang, iedere ICTer weet toch waarop hij moet letten.
@Jan … je laatste statement betwijffel ik ten zeerste.
Er zijn nog genoeg IT-ers die open source als gratis en vrij te gebruiken + distribueren zien.
@Jan … je laatste statement betwijffel ik ten zeerste.
Er zijn nog genoeg IT-ers die open source als gratis en vrij te gebruiken + distribueren zien.