Wanneer mensen softwarekeuzes maken, staat beveiliging vaak bovenaan hun prioriteitenlijst. En als het niet zo is, zou het moeten zijn! Ze vragen zich echter meestal af wat de verschillen zijn tussen closed-source en open-source software.
Dus wat is het verschil tussen open- en closed-source? Is open source software echt veilig?
Open source vs. Closed-sourcesoftware
Mensen maken open source software gratis beschikbaar voor iedereen. Het publiek kan het gebruiken, kopiëren, wijzigen en opnieuw distribueren. Bovendien kan, zoals de naam al doet vermoeden, iedereen de broncode zien.
Closed-source software bevat streng bewaakte code die alleen geautoriseerde mensen kunnen zien of wijzigen. De kosten dekken het gebruiksrecht van mensen, maar alleen binnen de grenzen van de licentieovereenkomst voor de eindgebruiker.
Open-source zichtbaarheid heeft voor- en nadelen voor de beveiliging
Het vermogen van iedereen om de broncode te zien, biedt grote voordelen voor open-sourcebeveiliging. Ontwikkeling wordt een gemeenschapsinspanning waaraan mensen van over de hele wereld deelnemen.
Dat betekent dat fouten vaak sneller worden opgemerkt en opgelost dan wanneer slechts een veel kleinere groep individuen de code zou onderzoeken.
Echter, hackers profiteren van de toegankelijkheid ook van open source code. Ze zouden het kunnen gebruiken om aanvallen te plannen of kennis te nemen van kwetsbaarheden.
Ontwikkelaars met een oprechte interesse in het verbeteren van open-sourcesoftware pakken de problemen die ze tegenkomen aan of melden de problemen op zijn minst aan iemand met de vaardigheden om ze aan te pakken. Iedereen met kwade bedoelingen hoopt dat het zo lang mogelijk onopgemerkt blijft.
Deze realiteit zorgt ervoor dat cyberbeveiligingsprofessionals waarschuwen dat open-sourcesoftware organisaties in gevaar kan brengen. Een probleem is dat criminelen de code kunnen zien en er gevaarlijke inhoud in kunnen injecteren. Als alternatief kunnen die partijen zich richten op bedrijven die geen strikte praktijken hebben voor het met voldoende frequentie downloaden van softwarepatches.
Omdat open-sourcesoftware geen centrale autoriteit heeft die het beheert, is het voor iedereen moeilijk om te weten welke versies het vaakst worden gebruikt. Titels kunnen zo vaak worden bijgewerkt dat de IT-teams van een organisatie niet beseffen dat ze een oude versie hebben met ernstige beveiligingsproblemen.
Softwarebibliotheken van derden vormen open-source beveiligingsrisico's
Ontwikkelaars gebruiken vaak softwarebibliotheken van derden om tijd te besparen. Het zijn herbruikbare componenten die zijn ontwikkeld door een andere entiteit dan de oorspronkelijke provider. Een voordeel is dat ze het gebruik van vooraf geteste code toestaan.
Populaire bibliotheken worden getest in tal van omgevingen voor een breed scala aan gebruikssituaties. Door de natuurlijke gebruiksfrequentie worden er vaak bugs gemeld. Dat betekent echter niet noodzakelijkerwijs dat softwarebibliotheken van derden een superieure beveiliging hebben, zelfs als we het hebben over de bibliotheken die verband houden met open-sourcesoftware.
één studie ontdekte dat in bijna 80 procent van de gevallen bibliotheken van derden voor open-sourcesoftware niet worden bijgewerkt nadat ontwikkelaars ze aan codebases hebben toegevoegd. De onderzoekers die bij het onderzoek betrokken waren, waarschuwden dat het gebrek aan updates domino-effecten zou kunnen hebben.
Sommige van de nieuwste en meest gebruikte softwaretitels zijn tijdens de ontwikkeling afhankelijk van softwarebibliotheken van derden. Eén fout kan van invloed zijn op alle producten die zijn gekoppeld aan een problematische bibliotheek. Een andere verontrustende bevinding is dat meer dan een kwart van de ondervraagde ontwikkelaars niet op de hoogte was van of niet zeker was van een formeel proces dat wordt gebruikt om bibliotheken van derden te selecteren.
Verwant: Wat is een Zero Day Exploit en hoe werken aanvallen?
Een positieve conclusie van het onderzoek was echter dat software-updates 92 procent van de fouten in softwarebibliotheken van derden verhelpen. Bovendien vereist 69 procent van de updates slechts een kleine versiewijziging of iets dat nog minder uitgebreid is.
Nog veelbelovender was dat ontwikkelaars 17 procent van deze fouten in één uur konden oplossen. Dat betekent dat het aanpakken van deze open-source bibliotheekproblemen niet altijd extreem tijdrovend of ingewikkeld is.
Hoe de snelheid van het oplossen van bugs de open-sourcebeveiliging beïnvloedt
Een van de belangrijkste problemen met verouderde software is dat gebruikers het risico lopen op mogelijke beveiligingsfouten. In een ideale wereld zouden ontwikkelaars alle bugs opmerken en oplossen voordat software het publiek bereikt. Dat is echter een onrealistisch doel.
De volgende beste optie is om softwarepatches vrij te geven snel nadat kwetsbaarheden aan het licht zijn gekomen. Beveiligingsonderzoekers waarschuwen leveranciers van closed-source software vaak over problemen die snel moeten worden opgelost. De mensen die deze producten ontwikkelen, volgen echter de releaseschema's die door superieuren zijn gekozen.
Besluitvormers geven ook niet altijd prioriteit aan alle kwetsbaarheden. Sommige blijven maanden of jaren ongeadresseerd nadat de eerste identificatie heeft plaatsgevonden. Een gerelateerd probleem is dat veel ontwikkelaars worstelen met buitensporige of onevenwichtige workloads die hun vermogen om bugs snel op te lossen ernstig kunnen beperken, zelfs met de beste bedoelingen.
Nog een enquête ontdekte dat 38 procent van de ontwikkelaars een kwart van hun beschikbare tijd besteedt aan het oplossen van softwarefouten. Ongeveer 26 procent van de respondenten zei dat de taak de helft van hun werkdagen in beslag neemt. Een andere opvallende bevinding was dat 32 procent van de ontwikkelaars tot 10 uur per week besteedt aan het oplossen van bugs in plaats van het schrijven van code.
Ontwikkelaars nemen tal van voorzorgsmaatregelen om te voorkomen dat problematische code wordt vrijgegeven. Bijvoorbeeld dekking van Blauwe schildwacht besproken hoe een sandbox-database een spiegelversie van de productieomgeving geeft en eventuele wijzigingen in de huidige implementatiecyclus.
Webontwikkelaars kunnen dingen leren en testen zonder grote nadelige gevolgen voor een heel team. Maar er komen nog steeds bugs voor.
Omdat open-sourcesoftware hele ontwikkelingsgemeenschappen heeft die eraan werken om het te verbeteren, is er een hoge kans dat iemand met de juiste vaardigheden en beschikbaarheid van de planning een bug kan targeten en deze kan krijgen gemaakt. Dat kan betekenen dat bekende kwetsbaarheden niet zo lang ongeadresseerd blijven als met een closed-source softwaretitel.
Softwareafhankelijkheden bestaan wanneer het ene besturingssysteem afhankelijk is van een ander om te werken. Als het gaat om open-sourcesoftware, maakt het snelle tempo van veranderingen het vaak moeilijk voor ontwikkelaars om te begrijpen of een van hun afhankelijkheden betrekking heeft op verouderde versies.
Google heeft echter onlangs een webgebaseerde visualisatietool uitgebracht genaamd Open source-inzichten om dat probleem aan te pakken. Het geeft gebruikers een overzicht van de componenten die bij een softwarepakket horen.
Omdat de informatie details bevat over afhankelijkheden en hun eigenschappen, krijgen ontwikkelingsprofessionals een duidelijker idee of verouderde open-sourcesoftware later problemen kan veroorzaken.
Naast het bekijken van afhankelijkheidsgrafieken, kunnen mensen een vergelijkingstool gebruiken die laat zien hoe verschillende pakketversies afhankelijkheden kunnen beïnvloeden. Soms lost een nieuwere een beveiligingsprobleem op. Door deze tool aan te bieden, wil Google het voor ontwikkelaars gemakkelijker maken om zich meer bewust te worden van hoe ze open source software gebruiken.
Het hebben van die nieuwe kennis zou de beveiliging en de algehele bruikbaarheid kunnen verbeteren.
Open-sourcesoftware: geen totale beveiligingsoplossing
Dit overzicht laat zien waarom open source software niet altijd de veiligste keuze is in vergelijking met closed source software. Desalniettemin zijn er ook veel goede dingen over open-source software.
Mensen die het om persoonlijke redenen of binnen hun organisatie willen gebruiken, moeten de voor- en nadelen afwegen om tot een beslissing te komen.
Op zoek naar gratis open-source apps voor Windows? Hier zijn enkele van de beste software die u kunt installeren.
Lees volgende
- Veiligheid
- Online beveiliging
- Open source
Shannon is een maker van inhoud in Philly, PA. Ze schrijft al ongeveer 5 jaar in het technische veld na haar afstuderen met een graad in IT. Shannon is de hoofdredacteur van ReHack Magazine en behandelt onderwerpen als cyberbeveiliging, gaming en bedrijfstechnologie.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.