EU vraagt welke opensourcesoftware geaudit moet worden
De Europese Commissie startte in 2014 het Free and Open Source Software Audit (FOSSA) project om de veiligheid van het internet te verbeteren. Als onderdeel van het project kwam er een programma dat onderzoekers beloont voor het vinden en melden van kwetsbaarheden in bepaalde opensourcesoftware.
Nu zoekt de EU input welke opensourcesoftware in de toekomst geaudit zou moeten worden. Via een korte enquête wordt gevraagd wat de Europese Unie moet doen om de veiligheid van belangrijke opensourcesoftware te verbeteren en hoe ontwikkelaars kunnen worden ondersteund bij het verbeteren van de robuustheid van hun code. Ook is de EU benieuwd hoe het actiever in de FOSS-gemeenschap kan worden en hoe bekend de European Union Public Licence (EUPL) is.
Daarnaast wordt gevraagd wat de belangrijkste applicaties en serversoftware zijn om op kwetsbaarheden te laten controleren. Het gaat dan bijvoorbeeld om Firefox, KeePass, GnuPG en PuTTY. Als het gaat om serversoftware kan er onder andere gekozen worden uit de Linux-kernel, OpenSSL, OpenSSH, curl en iptables. In juni werd nog bekend dat er dankzij EU-geld een groot aantal kwetsbaarheden in VLC Media Player was verholpen.
Dat is nooit mogelijk geweest en zal nooit mogelijk zijn.
Dijkstra krijgt zijn gelijk ook al wil hij geen gelijk hebben.
Je kunt nooit alle fouten zien. Maar je kunt er in ieder geval meer zien dan in gesloten software.
Daarnaast zal een audit, door een gespecialiseerd software-audit-bedrijf, de kans op het vinden van fouten wel vergroten. Zie de VLC audit.
Peter
Je kunt nooit alle fouten zien. Maar je kunt er in ieder geval meer zien dan in gesloten software.
Daarnaast zal een audit, door een gespecialiseerd software-audit-bedrijf, de kans op het vinden van fouten wel vergroten. Zie de VLC audit.
Peter
Commerciële software heeft een aansprakelijke leverancier dat van aansprakelijkheid ontbreekt bij open source.
Je kunt in ieder toegeven dat er met geld iets gewenst wordt wat in het gratis en voor niets als verwachting niet waargemaakt wordt.
Je zou nog kunnen stellen dat er sprake is van verboden overheidssteun. Degenen die het zouden moeten betalen en kunnen betalen doen het niet. Google Apple Amazon IBM Oracle SAP etc.
Open source net een verlaten project is bij voorbaat onmogelijk om ooit goed te krijgen.
Je zou nog kunnen stellen dat er sprake is van verboden overheidssteun. Degenen die het zouden moeten betalen en kunnen betalen doen het niet. Google Apple Amazon IBM Oracle SAP etc.
Dat is nooit mogelijk geweest en zal nooit mogelijk zijn.
Die claim wordt dan ook niet gemaakt door het EU audit project, niet door het redactie artikel die het bericht brengt, en niet door enige voorgaande poster.
Deze stijl van argumentatie heet een 'stroman' - je maakt een pop van stro en bevecht die, bij gebrek aan een tegenstander die deze (bestrijdbare) positie heeft ingenomen.
In zijn algemeenheid worden posters die komen om te zuigen en jennen 'trollen' genoemd.
Moet je doen, dan. De URL staat in het bericht. Hier komen ze niet meelezen.
Je kunt nooit alle fouten zien. Maar je kunt er in ieder geval meer zien dan in gesloten software.
Daarnaast zal een audit, door een gespecialiseerd software-audit-bedrijf, de kans op het vinden van fouten wel vergroten. Zie de VLC audit.
Peter
Als een commerciele leverancier zijn project verlaat, dan heb je ook niets meer. Bij Open Source kan iemand anders het oppakken en er verder mee werken. Daar zijn in het verleden veel voorbeelden van.
Voor software geldt geen aansprakelijkheid. Als je zelf software laat ontwikkelen door een commerciele partij kun je soms - na dure rechtzaken - wat van de verantwoordelijkheid bij de ontwikkelaar leggen. Bij grote commerciele partijen kun je dat vergeten.
Je zou nog kunnen stellen dat er sprake is van verboden overheidssteun. Degenen die het zouden moeten betalen en kunnen betalen doen het niet. Google Apple Amazon IBM Oracle SAP etc.
Ik zou maar eens gaan kijken hoeveel manuren Google, Amazon en IBM in Open Source steken. Ook Oracle doet er iets aan. Van SAP weet ik het niet. Van Apple betwijfel ik het.
Verboden staatssteun is het niet. De EU gebruikt de software. Ze hebben echter geen grote groep ontwikkelaars om bij te dragen aan het schrijven van code. Dus betalen ze er voor. En dan voor een heel specifiek deel van het ontwikkeltraject, namelijk audits. Iets wat trouwens veel software ontwikkelaars niet lijken te doen.
Een andere argumentatie is dat juist overheden Open Source software ontwikkeling moeten steunen omdat daarmee de belastingbetalers nog iets terugzien van de investering. Het aanschaffen van commerciële softwarelicenties zou je als overheidssteun aan de softwarebedrijven kunnen zien, omdat de overheid meer betaalt dan de marginale kosten en van die investering ziet de belastingbetaler veel gevallen niets terug.
En het geld voor audits blijft waarschijnlijk in Europa. Bovendien zal een dergelijk bedrijf geen trucs kunnen bedenken om geen belasting over dat geld te betalen. ;-)
Peter
Zo is het. Het wordt vaak over het hoofd gezien dat met het versiebeheer, dat bij open source software wordt gebruikt, je de historie van wijzigingen kan inzien en daarmee elke wijziging in het vizier kan nemen en onderzoeken en evt. terugdraaien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
