Lekken in opensource-software kunnen bedrijven in gevaar brengen; vooral als die laatste niet weten dat ze gebruik maken van open source.

Advertentie

 
Zowel in bedrijven als bij eindgebruikers thuis, heb je een grote kans dat je enkele voorbeelden van opensource-software vindt. Aangezien de software vaak gratis is en iedereen er onmiddellijk mee aan de slag kan, wint het concept aan populariteit. Dat trekt echter ook de aandacht van cybercriminelen.

Niet alleen in gratis software

Volgens een rapport van Black Duck Software kan het aantal aanvallen die gebruikmaken van lekken in opensource-software dit jaar met 20 procent toenemen. Dat meldt CSO. Nu dat soort software meer voorkomt, is het interessanter voor hackers om lekken in de code te vinden. De gebruikersbasis wordt groter, en zo ook de potentiële poel van slachtoffers.
Het helpt niet dat de code in open software vaak ook wordt gebruikt als een basis voor commerciële software, zegt Mike Pittenger, vicepresident van security bij Black Duck Software. Volgens hem heeft de gemiddelde, commerciële applicatie meer dan honderd opensource-componenten. Originele software bouwen van nul af aan neemt te veel tijd in beslag, en vele open bibliotheken zijn al conform de industriestandaard, legt hij uit. Het is dus logisch om software op opensource-code te baseren, maar daarmee neem je ook eventuele fouten in de code mee over. Zo wordt het heel moeilijk om opensource-software te vermijden; iets wat cybercriminelen in de kaart speelt.

Geen garantie op patch

Er is dus een enorm potentieel om schade aan te brengen indien er een lek ontdekt wordt door de verkeerde persoon. Zelfs wanneer een fout in de originele opensource-code wordt hersteld, is er geen garantie dat de patch ook naar de applicaties wordt uitgerold die gebruikmaken van de code. Er is simpelweg te weinig transparantie, volgens Pittenger. Veel bedrijven weten niet welke applicaties een beroep doen op opensource-software en hoeveel van die open code werd gebruikt. “Doorgaans zijn [software]bedrijven niet heel open,” vertelt hij. “En als je een binary scant zonder de toestemming van de verkoper, kan je hun licentie-overeenkomst overtreden en je jezelf veel problemen op de nek halen.”
 
“Natuurlijk wil dit niet zeggen dat klanten geen opensource meer mogen gebruiken,” besluit de vicepresident. Black Duck voorspelt dat de adoptie van opensource-software zal blijven groeien, maar raadt bedrijven aan om altijd op te volgen of er lekken bekend worden gemaakt, en indien relevant, zo snel mogelijk patches te installeren.

Advertentie