De veiligheid van openbronsoftware hangt af van de community die fouten ontdekt. De Heartbleed-bug en andere recente gebeurtenissen tonen echter aan dat dit niet altijd gebeurt.


Het Heartbleed-fiasco heeft nog eens op een spectaculaire manier bewezen wat heel wat mensen al een lange tijd vermoedden: het is niet omdat de broncode van openbronsoftware beschikbaar is om te inspecteren dat die ook effectief geïnspecteerd wordt en veilig is.

De Heartbleed-bug was twee jaar in de broncode van de populaire software OpenSSL aanwezig en niemand in de openbroncommunity ontdekte het. De wet van Linus, “Given enough eyeballs, all bugs are shallow” gaat in de praktijk dus niet altijd op.

Commerciële leveranciers
Nog alarmerender is dat OpenSSL in heel wat software- en hardwareproducten gebruikt wordt van commerciële leveranciers, waaronder F5 Networks, Citrix Systems, Riverbed Technology en Barracuda Networks. Geen van hen heeft de code van OpenSSL blijkbaar voldoende doorgelicht voor ze die gebruikten.


“Iedereen veronderstelde dat anderen naar de code keken. Ze waren van mening dat het de verantwoordelijkheid van miljoenen andere mensen was", aldus Mamoon Yunus, CEO van Forum Systems. Hij raadt bedrijven die openbronsoftware gebruiken aan om peer review programma’s te organiseren en analysetools op de code los te laten.

Dure veiligheidsinspecties
Het probleem is dat een rigoureuze veiligheidsinspectie van broncode een immens tijdrovende taak is en een hoog vaardigheidsniveau vereist. Dat betekent dat het een vrij dure aangelegenheid is. Kijk maar naar Truecrypt, het encryptieprogramma waarvan de broncode al tien jaar lang beschikbaar is voor iedereen die interesse heeft in de veiligheid.

Het is echter pas recent dat de code een degelijke veiligheidsaudit heeft ondergaan, nadat er 60.000 dollar verzameld is met crowdfunding. Volgens het initiële rapport is de code van Truecrypt rommelig en voldoet ze niet aan de standaarden die we mogen verwachten van veilige code. Tien jaar geleden al kon iedereen dat onderzoeken, maar het is niet gebeurd. Gelukkig dat een aantal bedrijven zich achter het project Core Infrastructure Initiative van de Linux Foundation hebben geschaard om kritieke openbronprojecten te ondersteunen. Dat moet een tweede Heartbleed-drama vermijden.

In samenwerking met CIO.com.