image

EU vraagt welke opensourcesoftware geaudit moet worden

dinsdag 3 september 2019, 14:40 door Redactie, 13 reacties

De Europese Commissie startte in 2014 het Free and Open Source Software Audit (FOSSA) project om de veiligheid van het internet te verbeteren. Als onderdeel van het project kwam er een programma dat onderzoekers beloont voor het vinden en melden van kwetsbaarheden in bepaalde opensourcesoftware.

Nu zoekt de EU input welke opensourcesoftware in de toekomst geaudit zou moeten worden. Via een korte enquête wordt gevraagd wat de Europese Unie moet doen om de veiligheid van belangrijke opensourcesoftware te verbeteren en hoe ontwikkelaars kunnen worden ondersteund bij het verbeteren van de robuustheid van hun code. Ook is de EU benieuwd hoe het actiever in de FOSS-gemeenschap kan worden en hoe bekend de European Union Public Licence (EUPL) is.

Daarnaast wordt gevraagd wat de belangrijkste applicaties en serversoftware zijn om op kwetsbaarheden te laten controleren. Het gaat dan bijvoorbeeld om Firefox, KeePass, GnuPG en PuTTY. Als het gaat om serversoftware kan er onder andere gekozen worden uit de Linux-kernel, OpenSSL, OpenSSH, curl en iptables. In juni werd nog bekend dat er dankzij EU-geld een groot aantal kwetsbaarheden in VLC Media Player was verholpen.

Reacties (13)
03-09-2019, 16:42 door SPer
Goede zaak, dit zou ondermeer issues als Heartbeat kunnen voorkomen.
03-09-2019, 17:00 door Anoniem
OpenVPN zou ik graag nomineren.
03-09-2019, 17:14 door karma4
Helaas het onbegrip dat als je code kan zien dat je dan ook alle mogelijke fouten en problemen zou kunnen zien.

Dat is nooit mogelijk geweest en zal nooit mogelijk zijn.
Dijkstra krijgt zijn gelijk ook al wil hij geen gelijk hebben.
03-09-2019, 17:37 door Anoniem
Door karma4: Helaas het onbegrip dat als je code kan zien dat je dan ook alle mogelijke fouten en problemen zou kunnen zien.

Je kunt nooit alle fouten zien. Maar je kunt er in ieder geval meer zien dan in gesloten software.
Daarnaast zal een audit, door een gespecialiseerd software-audit-bedrijf, de kans op het vinden van fouten wel vergroten. Zie de VLC audit.

Peter
03-09-2019, 19:01 door karma4
Door Anoniem:
Je kunt nooit alle fouten zien. Maar je kunt er in ieder geval meer zien dan in gesloten software.
Daarnaast zal een audit, door een gespecialiseerd software-audit-bedrijf, de kans op het vinden van fouten wel vergroten. Zie de VLC audit.

Peter
Open source net een verlaten project is bij voorbaat onmogelijk om ooit goed te krijgen.
Commerciële software heeft een aansprakelijke leverancier dat van aansprakelijkheid ontbreekt bij open source.

Je kunt in ieder toegeven dat er met geld iets gewenst wordt wat in het gratis en voor niets als verwachting niet waargemaakt wordt.
Je zou nog kunnen stellen dat er sprake is van verboden overheidssteun. Degenen die het zouden moeten betalen en kunnen betalen doen het niet. Google Apple Amazon IBM Oracle SAP etc.
03-09-2019, 19:35 door MathFox - Bijgewerkt: 03-09-2019, 19:36
Door karma4:
Open source net een verlaten project is bij voorbaat onmogelijk om ooit goed te krijgen.
Voor ieder stuk software met serieuze functionaliteit geldt dat er bugs in zitten. Het hangt van de makers af goed de kwaliteit is. Er zijn hele betrouwbare Open Source pakketten en bibliotheken en er is slechte Open Source. Bij commerciële software vind je ook tenenkrommende kwaliteit.
Commerciële software heeft een aansprakelijke leverancier dat van aansprakelijkheid ontbreekt bij open source.
Heb je wel eens een EULA gelezen? "De leverancier sluit iedere aansprakelijkheid uit."

Je kunt in ieder toegeven dat er met geld iets gewenst wordt wat in het gratis en voor niets als verwachting niet waargemaakt wordt.
Je zou nog kunnen stellen dat er sprake is van verboden overheidssteun. Degenen die het zouden moeten betalen en kunnen betalen doen het niet. Google Apple Amazon IBM Oracle SAP etc.
Een andere argumentatie is dat juist overheden Open Source software ontwikkeling moeten steunen omdat daarmee de belastingbetalers nog iets terugzien van de investering. Het aanschaffen van commerciële softwarelicenties zou je als overheidssteun aan de softwarebedrijven kunnen zien, omdat de overheid meer betaalt dan de marginale kosten en van die investering ziet de belastingbetaler veel gevallen niets terug.
03-09-2019, 21:21 door Ron625
Door MathFox:Een andere argumentatie is dat juist overheden Open Source software ontwikkeling moeten steunen omdat daarmee de belastingbetalers nog iets terugzien van de investering. Het aanschaffen van commerciële softwarelicenties zou je als overheidssteun aan de softwarebedrijven kunnen zien, omdat de overheid meer betaalt dan de marginale kosten en van die investering ziet de belastingbetaler veel gevallen niets terug.
Niets aan toe te voegen :-)
03-09-2019, 22:11 door Anoniem
Door karma4: Helaas het onbegrip dat als je code kan zien dat je dan ook alle mogelijke fouten en problemen zou kunnen zien.
Dat is nooit mogelijk geweest en zal nooit mogelijk zijn.

Die claim wordt dan ook niet gemaakt door het EU audit project, niet door het redactie artikel die het bericht brengt, en niet door enige voorgaande poster.

Deze stijl van argumentatie heet een 'stroman' - je maakt een pop van stro en bevecht die, bij gebrek aan een tegenstander die deze (bestrijdbare) positie heeft ingenomen.
In zijn algemeenheid worden posters die komen om te zuigen en jennen 'trollen' genoemd.
03-09-2019, 22:17 door Anoniem
Door Anoniem: OpenVPN zou ik graag nomineren.

Moet je doen, dan. De URL staat in het bericht. Hier komen ze niet meelezen.
04-09-2019, 09:19 door Anoniem
Door karma4:
Door Anoniem:
Je kunt nooit alle fouten zien. Maar je kunt er in ieder geval meer zien dan in gesloten software.
Daarnaast zal een audit, door een gespecialiseerd software-audit-bedrijf, de kans op het vinden van fouten wel vergroten. Zie de VLC audit.

Peter
Open source net een verlaten project is bij voorbaat onmogelijk om ooit goed te krijgen.

Als een commerciele leverancier zijn project verlaat, dan heb je ook niets meer. Bij Open Source kan iemand anders het oppakken en er verder mee werken. Daar zijn in het verleden veel voorbeelden van.

Commerciële software heeft een aansprakelijke leverancier dat van aansprakelijkheid ontbreekt bij open source.

Voor software geldt geen aansprakelijkheid. Als je zelf software laat ontwikkelen door een commerciele partij kun je soms - na dure rechtzaken - wat van de verantwoordelijkheid bij de ontwikkelaar leggen. Bij grote commerciele partijen kun je dat vergeten.

Je kunt in ieder toegeven dat er met geld iets gewenst wordt wat in het gratis en voor niets als verwachting niet waargemaakt wordt.
Je zou nog kunnen stellen dat er sprake is van verboden overheidssteun. Degenen die het zouden moeten betalen en kunnen betalen doen het niet. Google Apple Amazon IBM Oracle SAP etc.

Ik zou maar eens gaan kijken hoeveel manuren Google, Amazon en IBM in Open Source steken. Ook Oracle doet er iets aan. Van SAP weet ik het niet. Van Apple betwijfel ik het.

Verboden staatssteun is het niet. De EU gebruikt de software. Ze hebben echter geen grote groep ontwikkelaars om bij te dragen aan het schrijven van code. Dus betalen ze er voor. En dan voor een heel specifiek deel van het ontwikkeltraject, namelijk audits. Iets wat trouwens veel software ontwikkelaars niet lijken te doen.

Door MathFox:
Een andere argumentatie is dat juist overheden Open Source software ontwikkeling moeten steunen omdat daarmee de belastingbetalers nog iets terugzien van de investering. Het aanschaffen van commerciële softwarelicenties zou je als overheidssteun aan de softwarebedrijven kunnen zien, omdat de overheid meer betaalt dan de marginale kosten en van die investering ziet de belastingbetaler veel gevallen niets terug.

En het geld voor audits blijft waarschijnlijk in Europa. Bovendien zal een dergelijk bedrijf geen trucs kunnen bedenken om geen belasting over dat geld te betalen. ;-)

Peter
04-09-2019, 11:07 door Anoniem
Het klinkt leuk. Is de backdoor dat men wil weten wat er veel gebruikt wordt en waar een backdoor in moet? Of zou het nu eens oprecht zijn vanuit de EU? De geschiedenis zegt dat dat laatste onwaarschijnlijk is.
04-09-2019, 20:24 door MathFox
Door Anoniem: Het klinkt leuk. Is de backdoor dat men wil weten wat er veel gebruikt wordt en waar een backdoor in moet? Of zou het nu eens oprecht zijn vanuit de EU? De geschiedenis zegt dat dat laatste onwaarschijnlijk is.
Bij Open Source software kan iedereen controleren de wijzigingen en de motivatie achter de wijzigingen bestuderen. Wanneer op verzoek van de EU een achterdeurtje ingebouwd wordt is er een aanzienlijke kans dat dat door iemand opgemerkt wordt.
07-09-2019, 08:42 door Krakatau
Door MathFox:
Door Anoniem: Het klinkt leuk. Is de backdoor dat men wil weten wat er veel gebruikt wordt en waar een backdoor in moet? Of zou het nu eens oprecht zijn vanuit de EU? De geschiedenis zegt dat dat laatste onwaarschijnlijk is.
Bij Open Source software kan iedereen controleren de wijzigingen en de motivatie achter de wijzigingen bestuderen. Wanneer op verzoek van de EU een achterdeurtje ingebouwd wordt is er een aanzienlijke kans dat dat door iemand opgemerkt wordt.

Zo is het. Het wordt vaak over het hoofd gezien dat met het versiebeheer, dat bij open source software wordt gebruikt, je de historie van wijzigingen kan inzien en daarmee elke wijziging in het vizier kan nemen en onderzoeken en evt. terugdraaien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.