Veel code aanwezig in open source libraries stikt van de fouten. De meeste ontwikkelaars gaan er onterecht van uit dat de code wel veilig is en besteden geen aandacht aan het testen en reviewen van de code. Het wachten is op de volgende exploit met grote gevolgen.
Open source is veilig want de code kan door iedereen bekeken en verbeterd worden, is de mythe van open source. Het probleem is dat niemand dat doet. Ontwikkelaars gaan er voetstoots van uit dat anderen dat al wel hebben gedaan. De projecten waarin veel opensourcesoftware tot stand komt, kampen met onderbezetting en te weinig budget, waardoor nog meer dan bij ‘gesloten’ software het testen er bij inschiet. Bedrijven die software creëren waarin opensource-elementen zijn verwerkt, besteden geen aandacht aan het nalopen van deze elementen. Dit zegt Jake Kouns, Chief Information security Officer van Risk Based Security tegen IDG News Service.
Heartbleed, Shellshock en POODLE zijn 3 in het oog springende voorbeelden waar het mis ging. De reden dat er veel aandacht voor is geweest, was dat er aansprekende namen aan de bugs zijn gegeven en er veel media-aandacht voor was. Er zijn echter veel meer voorbeelden van fouten in libraries zoals OpenSSL, LibTIFF, libpng, OpenJPEG, FFmpeg, Libav en vele andere. Deze code is verwerkt in vele duizenden producten die de basis vormen voor de infrastructuur van internet.
Overzicht gebruik open source ontbreekt
Een bijkomend probleem is dat de softwarebedrijven die de opensourcecode gebruiken vaak niet eens een goed overzicht hebben van de componenten die zij van derden gebruiken in hun software. Daarmee hebben ze ook geen zicht op welke kwetsbaarheden worden gevonden, laat staan dat deze adequaat worden gepatcht. Carsten Eiram, chief research officer bij Risk Based Security noemt Adobe Systems en Google als gunstige uitzonderingen op deze regel. Beide bedrijven zien het gevaar en ondernemen actie om proactief fouten in de code op te sporen.
Een voordeel van de breed uitgemeten problemen met Heartbleed en POODLE is dat beveiligingsonderzoekers nu wel een model hebben waarmee ze via de media veel aandacht krijgen voor de problemen. De softwarebedrijven houden er niet van opeens geconfronteerd te worden met het ombuigen van budgetten naar teams die op stel en sprong op zoek moeten naar elementen waar fouten in gevonden zijn. Ze zullen dus eerder geneigd zijn ook de software van derden die zij in hun producten gebruiken proactief te gaan testen, of op zijn minst beter te registreren waar welke elementen van derden worden toegepast in hun software. De meeste zien helaas Heartbleed, Shellshock en POODLE nog als geïsoleerde gevallen in plaats van als onderdeel van een trend, vreest Chris Eng, vice president research bij Veracode.
Bron: Automatiseringsgids
