"Open source ongeschikt voor vulnerability management"
Qualys, een leverancier van Software-as-a-Service-oplossingen, laat iedereen een gratis exemplaar van "Vulnerability Management For Dummies" downloaden, waarin het stelt dat open source geen geschikt alternatief is. De "For Dummies" series biedt al jaren een introductie tot tal van onderwerpen en heeft nu in samenwerking met de commerciële aanbieder de ins en outs van vulnerability management beschreven, ook wel bekend als het 'in een zo vroeg mogelijk stadium opsporen en herstellen van kwetsbaarheden in de IT-infrastructuur."
Naast de reclame voor Qualys geeft men verschillende tips en best practices. Ook komt het onderwerp open source aan bod, toch zouden er drie redenen zijn waarom het geen oplossing voor vulnerability management is. Ten eerste is de code dubieus. "Open source wordt ontwikkeld door het publiek, je kunt niet van de kwaliteit van de code uitgaan zoals bij een commerciële aanbieder het geval is."
Het tweede punt van kritiek is dat open source software gratis is, maar niet kosteloos. "Open source software heeft dezelfde operationele kosten als commerciële software. Wees bereid om te betalen voor systeembeheer, uitrol, configuratie, beheer, rackspace, de lijst gaat maar door." Als laatste haalt Qualys uit naar de beperkte ondersteuning en trainingsmogelijkheden. "Uw security personeel moet deze tools kunnen beheren en snel reageren op gevonden lekken. Met open source software, is het zeldzaam om training en ondersteuning bij elkaar op een open source internetforum te vinden." (Security4all)
van de kwaliteit van de code uitgaan zoals bij een
commerciële aanbieder het geval is.\" - wat een onzin.
OSS wordt gemaakt door dezelfde mensen die overdag aan
commerciële software werken en/of waarbij het hun hobby is.
OSS van slechte kwaliteit wordt toch meestal geweigerd, en
als het al verschijnt is het snel weer opgelapt door anderen.
Ik wil niet zeggen dat serieuze OSS kwalitatief altijd even
goed is, maar dat geld evenzeer voor commerciële software.
Maar omdat OSS open is kunnen fouten snel worden verholpen,
in tegenstelling tot sommige commerciële bedrijven die nooit
of zelden een verbetering aanbrengen.
Frans
Van Closed source software is zowel de software als het beheer niet gratis.
Zie het probleem niet zo in deze redenering ten favoure van closed sourced
software.
Closed source software is ook geen garantie op goede software. Open source
is gemaakt met behulp van het 'publiek'. Maar niet alle software
aanpassingen
worden standaard opgenomen in een distributie, en niet iedereen voegt code
toe.
Het enige verschil is dat closed sourced software fabrikanten veel geld
verdienen aan de seminars en opleidingen omdat ze het monopolie hebben
op de software en leermiddelen.
Dit is duidelijk een verhaal van iemand die tegen open-source is omdat hij
teveel geld verdient aan de closed source. Software as a service vraagt
immers om een goede helpdesk (Ik heb geen idee of dat ook duur is), maar
een abonnement is voor mij per definitie al duur.
juist beter is, omdat de programmeur weet dat de hele wereld
mee kan kijken. Natuurlijk zijn er genoeg projecten waar de
code een absolute puinhoop is, maar die zijn er bij closed
source misschien nog wel minder.
Daarnaast lijkt er gesuggereerd te worden dat open source
gelijk staat aan alleen support via open fora. Die bieden
zeker hun eigen kwaliteiten, maar je kunt ook 'gewoon'
betaalde support nemen, ongeacht of het product waar het om
gaat open source of propietary is.
Sterker nog, bij open source kun je ook externe expertise
inhuren als het oorspronkelijke bedrijf (ja, ook veel open
source wordt gewoon door professionele programmeurs gemaakt)
vindt dat jouw klandizie niet past bij de directe doelen van
hun aandeelhouders.
ontwikkeld door het publiek, je kunt niet van de kwaliteit
van de code uitgaan zoals bij een commerciële aanbieder het
geval is."
Als eerste, je gaat geen productie draaien met bv de
latest-&-greatest kernel van Linux, er kunnen te veel
problemen inzitten. Ten tweede je ziet bv bij Red Hat dat
men fixes e.d backport naar hun releases, hiermee behoud je
support e.d
Wat de kwaliteit van de code is hangt echt niet af van
commercieel of niet, het heeft meer te maken met de
programmeur. Ik heb in het verleden wel eens code gezien die
door een 'professional' was geschreven... toen ik er mee aan
de slag ging was het hopeloos traag en vol bugs, vervolgens
heb ik in mijn eigen tijd de meuk herschreven en toen werd
deze opeens 600 keer zo snel...
Kortom... dit gehele verhaal... nog kraak-nog smaak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
