NCSC: gebruik open source software kent voordelen én beveiligingsrisico's
Het gebruik van open source software kent diverse voordelen, maar ook beveiligingsrisico's, aldus het Nationaal Cyber Security Centrum (NCSC). Zo blijkt in de praktijk dat het open, transparante karakter van open source niet maakt dat het ook vrij is van kwetsbaarheden. "In tegenstelling tot wat vaak wordt aangenomen. Het overgrote deel van de OSS (componenten) die in gebruik zijn, bevat meerde kwetsbaarheden, soms ook ernstige", zo stelt de overheidsinstantie.
Volgens het NCSC kan het open karakter van opensourcesoftware (OSS) juist ook bepaalde nieuwe risico’s introduceren. De overheidsinstantie heeft een nieuwe factsheet gepubliceerd waarin het adviseert over de beveiligingsrisico's van OSS en over de daarbij behorende afwegingen en te nemen beheersmaatregelen. De adviezen moeten zo bijdragen aan een veilige inzet van opensourcesoftware.
Die is namelijk van verschillende specifieke beveiligingsrisico's afhankelijk. "De inzetbaarheid zal onder meer afhangen van de robuustheid en professionaliteit van de betreffende OS-community, hun werkwijze en het inzetscenario voor de betreffende software", staat in het advies. "Dat kan betekenen dat OSS soms wel, en in andere gevallen niet, toepasbaar is."
Ook gaat het NCSC in op de veronderstelling dat opensourcesoftware veiliger zou zijn dan closed source software (CSS) omdat iedereen de broncode kan inspecteren. "Uit (wetenschappelijk) onderzoek blijkt vooralsnog weinig concrete steun voor de hypothese dat OSS (inherent) veiliger is dan CSS. Diverse onderzoeken laten zien dat er in de praktijk weinig verschil zit in het aantal kwetsbaarheden tussen enerzijds OSS en anderzijds CSS. De kwaliteit van de code lijkt vooral te worden bepaald door professionaliteit van het ontwikkelteam en de manier waarop zij code ontwikkelen, los van of dit OSS of CSS is."
Of het inzetten dan wel zelf ontwikkelen van opensourcesoftware voor organisaties een verstandige, veilige keuze is, hangt af van de context en condities waarbinnen dit plaats moet vinden, zo stelt het NCSC. "Dit vraagt steeds om een adequate risicoanalyse en sourcingsafweging, en die kan goed per OSS-oplossing en per inzetscenario verschillen. Die afweging kan ook veranderen gedurende de life cycle van de betreffende OSS, bijvoorbeeld wanneer de werkwijze van de OSS community verandert."
Reacties (35)
Wat verandert een softwarelicentie aan de veiligheid van de software?
Google ChromeOS gebruikt Linux. En Microsoft is ook bezig met Ubuntu. En de management engine van Intel processoren draait minix 3 (alle drie open source). MacOS X is ook gebaseerd op FreeBSD (ook open source).
We zijn gedoemd ;-)
We zijn gedoemd ;-)
14-12-2022, 13:30 door
karma4
Door Anoniem: Wat verandert een softwarelicentie aan de veiligheid van de software?
Die betaal je aan de leverancier waarmee open source gebundeld binnen komt. Het wordt die leverancier zijn taak om je te ontzorgen van de bekende en onbekende problemen in alles wat hij levert.Dit lijkt me een typisch door lobbyisten (via de grote bedrijven die in closed source oplossingen leveren) ingegeven praatje. OSS bevat uiteraard kwetsbaarheden (welke software niet), maar het heeft wel degelijk aangetoond veiliger te zijn dan closed source software. Bij OSS worden de kwetsbaarheden namelijk binnen no-time gefikst. Iets wat met CSS lang niet altijd het geval is.
Linux en BSD, en alles wat er vanaf komt wordt niet voor niets gebruikt bij kritische toepassingen en systemen. Ik hoef hier geen voorbeelden van te geven, want daar is genoeg over terug te vinden. En daarom vind ik dit statement dus een beetje lobbyistisch. Het doet me een beetje denken aan de tijd dat Microsoft in de early 2000's ons probeerden te overtuigen dat Microsoft toch écht beter was dan Linux. Om even als voorbeeld aan te halen.
Voor mij persoonlijk: ik waan mezelf 1000% veiliger met OSS dan met CSS. Zo doe ik zaken waar ik online risico loop (bijvoorbeeld bankzaken of online aankopen) zoveel als mogelijk met een zoveel als mogelijk geüpdate Linux distro + browser (Firefox), en nimmer met Windows. Soms zitten er veiligheidsissues in die pas na weken worden opgelost (Patch Tuesday). Daar spreekt de factsheet niet over. Wat heel vreemd is, want wekenlang een bekende veiligheidsissue achterhouden omdat de patchronde nog niet van toepassing is, is al een veiligheidsrisico waar je "U" tegen zegt.
Ik vind het maar een vreemde statement die bol staat van "biased opinions". Niks aangetoond.
Linux en BSD, en alles wat er vanaf komt wordt niet voor niets gebruikt bij kritische toepassingen en systemen. Ik hoef hier geen voorbeelden van te geven, want daar is genoeg over terug te vinden. En daarom vind ik dit statement dus een beetje lobbyistisch. Het doet me een beetje denken aan de tijd dat Microsoft in de early 2000's ons probeerden te overtuigen dat Microsoft toch écht beter was dan Linux. Om even als voorbeeld aan te halen.
Voor mij persoonlijk: ik waan mezelf 1000% veiliger met OSS dan met CSS. Zo doe ik zaken waar ik online risico loop (bijvoorbeeld bankzaken of online aankopen) zoveel als mogelijk met een zoveel als mogelijk geüpdate Linux distro + browser (Firefox), en nimmer met Windows. Soms zitten er veiligheidsissues in die pas na weken worden opgelost (Patch Tuesday). Daar spreekt de factsheet niet over. Wat heel vreemd is, want wekenlang een bekende veiligheidsissue achterhouden omdat de patchronde nog niet van toepassing is, is al een veiligheidsrisico waar je "U" tegen zegt.
Ik vind het maar een vreemde statement die bol staat van "biased opinions". Niks aangetoond.
Ongeveer 1/3de van alle open source toepassingen bevatten in hun meest recente versie gekende zwakke plekken. Dat claimt een rapport van Endor Labs. Het bedrijf testte zo'n achttienhonderd veel gebruikte pakketten, hoofdzakelijk op basis van het Census II rapport, dat de populairste open source software en onderdelen in kaart brengt.
https://datanews.knack.be/ict/nieuws/derde-van-open-source-software-bevat-gekende-kwetsbaarheden/article-news-1921033.html
https://datanews.knack.be/ict/nieuws/derde-van-open-source-software-bevat-gekende-kwetsbaarheden/article-news-1921033.html
14-12-2022, 15:02 door
_R0N_
Door Anoniem: Wat verandert een softwarelicentie aan de veiligheid van de software?
Dat je een bepaalde niveau van onderhoud mag verwachten.
Extreem voorbeeld van een probleem bij Open Source was wat er gebeurde met Log4j. Log4j was gemaakt door een paar knutselaars op een zolderkamer die nooit hadden gerekend op de manier waarop hun knutselwerk gebruikt zou worden. Toen er een probleem ontdekt werd hadden ze de capaciteit niet om het te fixen.
14-12-2022, 15:05 door
_R0N_
Door Anoniem: Dit lijkt me een typisch door lobbyisten (via de grote bedrijven die in closed source oplossingen leveren) ingegeven praatje. OSS bevat uiteraard kwetsbaarheden (welke software niet), maar het heeft wel degelijk aangetoond veiliger te zijn dan closed source software. Bij OSS worden de kwetsbaarheden namelijk binnen no-time gefikst. Iets wat met CSS lang niet altijd het geval is.
In de praktijk is dat dus niet geheel waar.
De kans dat iets gevonden wordt in OSS door een kwaadwillende is groter doordat de source toegankelijk is, dat fouten eerder gevonden worden door welwillenden is eigenlijk minimaal. Wanneer heb jij voor het laatst de source code van je kernel bekeken? Ik zelf in 1999 ongeveer, ieder geval deze eeuw nog niet.
Dat OSS veiliger zou zijn dan CSS wordt alleen beweerd door de OSS community maar is statistisch niet bewezen. Wat wel bewezen is is dat populaire software eerder doelwit is van kwaadwillenden en dat het veilig is obscure software te gebruiken die niet populair is.
14-12-2022, 15:18 door
Ron625
Even van een andere kant bekeken:
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
14-12-2022, 15:31 door
Bitje-scheef
Door Ron625: Even van een andere kant bekeken:
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
Vaak (niet altijd dus) wordt bij grote bedrijven en overheden de source-code van CSS in bewaring gegeven.
Door _R0N_: Extreem voorbeeld van een probleem bij Open Source was wat er gebeurde met Log4j. Log4j was gemaakt door een paar knutselaars op een zolderkamer die nooit hadden gerekend op de manier waarop hun knutselwerk gebruikt zou worden. Toen er een probleem ontdekt werd hadden ze de capaciteit niet om het te fixen.
Op 24 november 2021 is Log4Shell bekend gemaakt aan Apache Software Foundation.
Op 6 december 2021 is versie 2.15.0 uitgebracht die het probleem oploste.
Op 9 december 2021 werd Log4Shell overal bekend.
Dat is het voordeel van Open Source Software. Iedereen kan het probleem oplossen en eventueel forken als er geen actieve eigenaar meer is.
En de commerciële pakketten hebben ook wel zitten slapen toen ze de code van Log4j blindelings in gebruik namen (vaak zonder de juiste credits te geven neem ik aan, want dat doen commerciële bedrijven niet).
mja, ik wacht de volgende patch dinsdag wel af om weer hard herinnerd te worden aan welke belangen prevaleren voor wie...
14-12-2022, 16:29 door
Open source gebruiker
Door _R0N_:
Dat je een bepaalde niveau van onderhoud mag verwachten.
Extreem voorbeeld van een probleem bij Open Source was wat er gebeurde met Log4j. Log4j was gemaakt door een paar knutselaars op een zolderkamer die nooit hadden gerekend op de manier waarop hun knutselwerk gebruikt zou worden. Toen er een probleem ontdekt werd hadden ze de capaciteit niet om het te fixen.
Door Anoniem: Wat verandert een softwarelicentie aan de veiligheid van de software?
Dat je een bepaalde niveau van onderhoud mag verwachten.
Extreem voorbeeld van een probleem bij Open Source was wat er gebeurde met Log4j. Log4j was gemaakt door een paar knutselaars op een zolderkamer die nooit hadden gerekend op de manier waarop hun knutselwerk gebruikt zou worden. Toen er een probleem ontdekt werd hadden ze de capaciteit niet om het te fixen.
Hetzelfde kun je zeggen voor gesloten software, zoals hier al eerder aangegeven dat een grote leverancier van gesloten software wacht op patch tuesday.
"Uit (wetenschappelijk) onderzoek blijkt vooralsnog weinig concrete steun voor de hypothese dat OSS (inherent) veiliger is dan CSS. Diverse onderzoeken laten zien dat er in de praktijk weinig verschil zit in het aantal kwetsbaarheden tussen enerzijds OSS en anderzijds CSS. De kwaliteit van de code lijkt vooral te worden bepaald door professionaliteit van het ontwikkelteam en de manier waarop zij code ontwikkelen, los van of dit OSS of CSS is."
Het grote verschil is natuurlijk wel dat je bij OSS de mogelijkheid hebt om te controleren op kwetsbaarheden, backdoors en andere ongewenste functionaliteiten.
14-12-2022, 16:51 door
-Peter-
Door Ron625: Even van een andere kant bekeken:
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
Nee, als auteur houd je je auteursrechten.
De gebruiker heeft andere rechten dan bij CSS. Als je je niet aan die rechten (en plichten) houdt, kan de auteur je geoon aan (laten) klagen.
Peter
Door Ron625: Even van een andere kant bekeken:
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
Zucht... Nee, open source is niet het opgeven van auteursrechten.In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
Als iets auteursrechtenvrij is maakt het deel uit van het publieke domein. Los van het feit dat dat niet eens overal in de wereld tot de mogelijkheden behoort is dat wezenlijk anders dan open source. Open source gebruikt juist het feit dat er iemand is die het auteursrecht heeft om in de licentie voorwaarden te kunnen stellen aan aanpassing en verspreiding van de software. Het gebruikt op een slimme manier auteursrechten om een vrije verspreiding te bevorderen in plaats van belemmeren. Maar het is wel degelijk gebaseerd op auteursrechten.
Als in België de overheid kan bepalen dat alle software die voor de overheid wordt geschreven open source is dan lijkt mij dat ofwel geregeld is dat de Belgische overheid het auteursrecht heeft en kan bepalen onder welke licentie de software verder wordt verspreid; ofwel dat de Belgische overheid een open source-licentie eist van een software-ontwikkelaar of anders de overeenkomst niet aangaat.
In het eerste geval is de maker van de software de auteursrechten kwijt omdat die bij de opdrachtgever liggen, en niet omdat die er open source van maakt. In het tweede geval is de maker van de software de auteursrechten niet kwijt maar geeft de open source licentie de opdrachtgever recht om de software naar anderen te verspreiden en erven die de rechten.
In beide gevallen heb je ongelijk.
En in beide gevallen is het voor de ontwikkelaar van tevoren duidelijk hoe het zit en kan die kiezen om de opdracht wel of niet aan te nemen onder die voorwaarden, of als die vindt dat die zich die keuze niet kan permitteren om geen eigen code in te brengen die hij niet open source wil maken.
14-12-2022, 22:04 door
informatiebeveiliger
Wat een prietpraat van het NCSC
Feiten
-log4j is ook open source.. de lekke toep zat overal tussen.
-bijna niemand controleert open source code op achterdeurtjes
-https://www.agconnect.nl/artikel/scan-op-veiligheid-open-source-dweilen-met-kraan-open
Feiten
-log4j is ook open source.. de lekke toep zat overal tussen.
-bijna niemand controleert open source code op achterdeurtjes
-https://www.agconnect.nl/artikel/scan-op-veiligheid-open-source-dweilen-met-kraan-open
Door Anoniem: Google ChromeOS gebruikt Linux. En Microsoft is ook bezig met Ubuntu. En de management engine van Intel processoren draait minix 3 (alle drie open source). MacOS X is ook gebaseerd op FreeBSD (ook open source).
We zijn gedoemd ;-)
Ondanks je super grappige smiley staat er toch echt: "in de praktijk weinig verschil zit in het aantal kwetsbaarheden tussen enerzijds OSS en anderzijds CSS".We zijn gedoemd ;-)
... en bijna niemand controleerd closed source ... want de drijfveer is niet veiligheid maar geld ...
https://www.security.nl/posting/777902/Door+Microsoft+gesigneerde+drivers+gebruikt+bij+ransomware-aanvallen
https://www.security.nl/posting/777902/Door+Microsoft+gesigneerde+drivers+gebruikt+bij+ransomware-aanvallen
Door _R0N_:
In de praktijk is dat dus niet geheel waar.
De kans dat iets gevonden wordt in OSS door een kwaadwillende is groter doordat de source toegankelijk is, dat fouten eerder gevonden worden door welwillenden is eigenlijk minimaal. Wanneer heb jij voor het laatst de source code van je kernel bekeken? Ik zelf in 1999 ongeveer, ieder geval deze eeuw nog niet.
Dat OSS veiliger zou zijn dan CSS wordt alleen beweerd door de OSS community maar is statistisch niet bewezen. Wat wel bewezen is is dat populaire software eerder doelwit is van kwaadwillenden en dat het veilig is obscure software te gebruiken die niet populair is.
Door Anoniem: Dit lijkt me een typisch door lobbyisten (via de grote bedrijven die in closed source oplossingen leveren) ingegeven praatje. OSS bevat uiteraard kwetsbaarheden (welke software niet), maar het heeft wel degelijk aangetoond veiliger te zijn dan closed source software. Bij OSS worden de kwetsbaarheden namelijk binnen no-time gefikst. Iets wat met CSS lang niet altijd het geval is.
In de praktijk is dat dus niet geheel waar.
De kans dat iets gevonden wordt in OSS door een kwaadwillende is groter doordat de source toegankelijk is, dat fouten eerder gevonden worden door welwillenden is eigenlijk minimaal. Wanneer heb jij voor het laatst de source code van je kernel bekeken? Ik zelf in 1999 ongeveer, ieder geval deze eeuw nog niet.
Dat OSS veiliger zou zijn dan CSS wordt alleen beweerd door de OSS community maar is statistisch niet bewezen. Wat wel bewezen is is dat populaire software eerder doelwit is van kwaadwillenden en dat het veilig is obscure software te gebruiken die niet populair is.
Het zijn statistisch juist wel closed source systemen die geinfecteerd worden met malware terwijl ik er vrij zeker van ben dat er meer systemen met enige vorm van opensource software wereldwijd draaien dan closed source.
Door Anoniem:
En WIE doet dat ook? Altijd moet een ander dat maar doen, terwijl ze wel een grote mond opzetten."Uit (wetenschappelijk) onderzoek blijkt vooralsnog weinig concrete steun voor de hypothese dat OSS (inherent) veiliger is dan CSS. Diverse onderzoeken laten zien dat er in de praktijk weinig verschil zit in het aantal kwetsbaarheden tussen enerzijds OSS en anderzijds CSS. De kwaliteit van de code lijkt vooral te worden bepaald door professionaliteit van het ontwikkelteam en de manier waarop zij code ontwikkelen, los van of dit OSS of CSS is."
Het grote verschil is natuurlijk wel dat je bij OSS de mogelijkheid hebt om te controleren op kwetsbaarheden, backdoors en andere ongewenste functionaliteiten.Door Anoniem: Dit lijkt me een typisch door lobbyisten (via de grote bedrijven die in closed source oplossingen leveren) ingegeven praatje. OSS bevat uiteraard kwetsbaarheden (welke software niet), maar het heeft wel degelijk aangetoond veiliger te zijn dan closed source software. Bij OSS worden de kwetsbaarheden namelijk binnen no-time gefikst. Iets wat met CSS lang niet altijd het geval is.
Linux en BSD, en alles wat er vanaf komt wordt niet voor niets gebruikt bij kritische toepassingen en systemen. Ik hoef hier geen voorbeelden van te geven, want daar is genoeg over terug te vinden. En daarom vind ik dit statement dus een beetje lobbyistisch. Het doet me een beetje denken aan de tijd dat Microsoft in de early 2000's ons probeerden te overtuigen dat Microsoft toch écht beter was dan Linux. Om even als voorbeeld aan te halen.
Voor mij persoonlijk: ik waan mezelf 1000% veiliger met OSS dan met CSS. Zo doe ik zaken waar ik online risico loop (bijvoorbeeld bankzaken of online aankopen) zoveel als mogelijk met een zoveel als mogelijk geüpdate Linux distro + browser (Firefox), en nimmer met Windows. Soms zitten er veiligheidsissues in die pas na weken worden opgelost (Patch Tuesday). Daar spreekt de factsheet niet over. Wat heel vreemd is, want wekenlang een bekende veiligheidsissue achterhouden omdat de patchronde nog niet van toepassing is, is al een veiligheidsrisico waar je "U" tegen zegt.
Ik vind het maar een vreemde statement die bol staat van "biased opinions". Niks aangetoond.
Vandaar de zero days elke maand: https://www.security.nl/posting/777935/Microsoft+verhelpt+zerodaylek+waarmee+Windows+Smartscreen+werd+omzeildLinux en BSD, en alles wat er vanaf komt wordt niet voor niets gebruikt bij kritische toepassingen en systemen. Ik hoef hier geen voorbeelden van te geven, want daar is genoeg over terug te vinden. En daarom vind ik dit statement dus een beetje lobbyistisch. Het doet me een beetje denken aan de tijd dat Microsoft in de early 2000's ons probeerden te overtuigen dat Microsoft toch écht beter was dan Linux. Om even als voorbeeld aan te halen.
Voor mij persoonlijk: ik waan mezelf 1000% veiliger met OSS dan met CSS. Zo doe ik zaken waar ik online risico loop (bijvoorbeeld bankzaken of online aankopen) zoveel als mogelijk met een zoveel als mogelijk geüpdate Linux distro + browser (Firefox), en nimmer met Windows. Soms zitten er veiligheidsissues in die pas na weken worden opgelost (Patch Tuesday). Daar spreekt de factsheet niet over. Wat heel vreemd is, want wekenlang een bekende veiligheidsissue achterhouden omdat de patchronde nog niet van toepassing is, is al een veiligheidsrisico waar je "U" tegen zegt.
Ik vind het maar een vreemde statement die bol staat van "biased opinions". Niks aangetoond.
Door Anoniem: Ongeveer 1/3de van alle open source toepassingen bevatten in hun meest recente versie gekende zwakke plekken. Dat claimt een rapport van Endor Labs. Het bedrijf testte zo'n achttienhonderd veel gebruikte pakketten, hoofdzakelijk op basis van het Census II rapport, dat de populairste open source software en onderdelen in kaart brengt.
https://datanews.knack.be/ict/nieuws/derde-van-open-source-software-bevat-gekende-kwetsbaarheden/article-news-1921033.html
Met een zwakke plek versleutel je geen servers. Een van de kenmerken van open source is dat alles wordt aangemeld (en weer snel wordt opgelost) , ook de low prio zaken. Vadaar dat aantallen hoog kunnen zijn (zeker als het in ontwikkeling is) Dit soort problemen worden door de CSS company niet gepubliceerd omdat ze de vuile was niet buiten willen hangen (het is niet voor niets closed). Meestal zijn het alleen de high en Critical (zie patch dinsdag) omdat deze bijna altijd door anderen dan de leverancier wordt gevonden.https://datanews.knack.be/ict/nieuws/derde-van-open-source-software-bevat-gekende-kwetsbaarheden/article-news-1921033.html
Door _R0N_:
In de praktijk is dat dus niet geheel waar.
De kans dat iets gevonden wordt in OSS door een kwaadwillende is groter doordat de source toegankelijk is, dat fouten eerder gevonden worden door welwillenden is eigenlijk minimaal. Wanneer heb jij voor het laatst de source code van je kernel bekeken? Ik zelf in 1999 ongeveer, ieder geval deze eeuw nog niet.
Dat OSS veiliger zou zijn dan CSS wordt alleen beweerd door de OSS community maar is statistisch niet bewezen. Wat wel bewezen is is dat populaire software eerder doelwit is van kwaadwillenden en dat het veilig is obscure software te gebruiken die niet populair is.
Onzin. Dat zou betekenen dat OSS veel vaker misbruikt zou moeten worden door criminelen en dat is niet zo. 100% van de grote ransomware incidenten zijn windows based, terwijl Linux een veel groter marktaandeel heeft en in een veel kwetsbaarder omgeving zit (internet) versus windows (kantoor afgeschermd door een Linux/BSD appliance).Door Anoniem: Dit lijkt me een typisch door lobbyisten (via de grote bedrijven die in closed source oplossingen leveren) ingegeven praatje. OSS bevat uiteraard kwetsbaarheden (welke software niet), maar het heeft wel degelijk aangetoond veiliger te zijn dan closed source software. Bij OSS worden de kwetsbaarheden namelijk binnen no-time gefikst. Iets wat met CSS lang niet altijd het geval is.
In de praktijk is dat dus niet geheel waar.
De kans dat iets gevonden wordt in OSS door een kwaadwillende is groter doordat de source toegankelijk is, dat fouten eerder gevonden worden door welwillenden is eigenlijk minimaal. Wanneer heb jij voor het laatst de source code van je kernel bekeken? Ik zelf in 1999 ongeveer, ieder geval deze eeuw nog niet.
Dat OSS veiliger zou zijn dan CSS wordt alleen beweerd door de OSS community maar is statistisch niet bewezen. Wat wel bewezen is is dat populaire software eerder doelwit is van kwaadwillenden en dat het veilig is obscure software te gebruiken die niet populair is.
Door Bitje-scheef:
Vaak (niet altijd dus) wordt bij grote bedrijven en overheden de source-code van CSS in bewaring gegeven.
Waar je niks mee mag!! Zinloos dus.Door Ron625: Even van een andere kant bekeken:
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
Vaak (niet altijd dus) wordt bij grote bedrijven en overheden de source-code van CSS in bewaring gegeven.
Door Anoniem:
Het aantal kwetsbaarheden zegt helemaal niets. Het gaat om de kritieke en die vind je in OSS sporadisch en in CSS elke maand (zelfs zero days). Door CSS bedrijven achtergehouden en bij OSS wordt je juist aangespoord om ze te melden. Als de aantallen bij OSS minder worden is dat meestal een teken dat er minder wordt ontwikkeld.Door Anoniem: Google ChromeOS gebruikt Linux. En Microsoft is ook bezig met Ubuntu. En de management engine van Intel processoren draait minix 3 (alle drie open source). MacOS X is ook gebaseerd op FreeBSD (ook open source).
We zijn gedoemd ;-)
Ondanks je super grappige smiley staat er toch echt: "in de praktijk weinig verschil zit in het aantal kwetsbaarheden tussen enerzijds OSS en anderzijds CSS".We zijn gedoemd ;-)
Door Anoniem:
Door Anoniem: Het grote verschil is natuurlijk wel dat je bij OSS de mogelijkheid hebt om te controleren op kwetsbaarheden, backdoors en andere ongewenste functionaliteiten.
En WIE doet dat ook? Altijd moet een ander dat maar doen, terwijl ze wel een grote mond opzetten.Iedereen die de OSS componenten gebruikt zou kunnen kijken of de code aan hun standaarden voldoet. En als dat niet zo is zelf iets brouwen.
Bij CSS moet je maar op de oogkleur van de fabrikant af gaan. Of alles disassembleren (wat vaak niet mag vanwege copyright wetgeving).
Wat een ongelooflijk herkenbaar Microsoft bullshit verhaal. Er is duidelijk een lobbyist aan het werk geweest. NCSC is ook niet onafhankelijk. Het heeft afspraken gemaakt met de Microsoft lobby dat er geen focus op OS mag zijn vwb ransomware.
Elke maand lezen we over zero days in CSS en elke dag over ransomware incidenten met versleutelde windows servers.
Is het dan niet een beetje raar dat er ineens getwijfeld moet worden over de security van OSS terwijl we niks over incidenten lezen. De stelling dat OSS veiliger zou zijn dan CSS wordt door geen enkele professionele OSS gebruiker of dienstverlener gebezigd (men verkiest om een andere reden). Dat verhaal komt alleen uit de doos van de CSS "aanhanger" waarmee men denkt een inkoper te kunnen misleiden met een vals voorwendsel, terwijl men weet dat men in het algemeen kiest voor OSS om andere redenen (https://www.gnu.org/proprietary/proprietary.html, om het geheel onderuit te kunnen halen.
Voorbeeldje uit factsheet NCSC waaruit blijkt dat ze de plank volledig mis slaat:
Dat men terughoudend zou zijn voor kritieke bedrijfsprocessen is te idioot voor woorden. Juist kritieke bedrijfsprocessen (wall-street etc) wordt het veel gebruikt en ontbreekt CSS totaal.
Daarnaast is het aanhalen van een consumenten voorbeeld uit 2016 (Linux Mint) hilarisch vergeleken met het wereldwijde WannaCry CSS incident uit 2017
Elke maand lezen we over zero days in CSS en elke dag over ransomware incidenten met versleutelde windows servers.
Is het dan niet een beetje raar dat er ineens getwijfeld moet worden over de security van OSS terwijl we niks over incidenten lezen. De stelling dat OSS veiliger zou zijn dan CSS wordt door geen enkele professionele OSS gebruiker of dienstverlener gebezigd (men verkiest om een andere reden). Dat verhaal komt alleen uit de doos van de CSS "aanhanger" waarmee men denkt een inkoper te kunnen misleiden met een vals voorwendsel, terwijl men weet dat men in het algemeen kiest voor OSS om andere redenen (https://www.gnu.org/proprietary/proprietary.html, om het geheel onderuit te kunnen halen.
Voorbeeldje uit factsheet NCSC waaruit blijkt dat ze de plank volledig mis slaat:
Het ontbreken van garanties, van de zekerheid dat OSS goed wordt onderhouden; dat er geen enkele partij echt aanspreekbaar is óp, danwel aansprakelijk is vóór, adequaat onder-houd, maakt dat veel professionele organisaties terughoudend zijn met het gebruik van OSS, zeker in kritieke bedrijfsprocessen.
Wat een bullshit zeg. Alsof Microsoft wel aansprakelijk is. Als je niet onderkent dat MS niet aansprakelijk is mag je die software niet eens gebruiken. Vergelijk dat eens met wat RedHat linux support biedt (ongelooflijk stabiel en een uitstekend onderhoudscontract en ook nog eens superieur op patchgebied) Die software mag je ook nog eens zonder supportcontract (maar wel gepatcht) gebruiken wat enorm veel voordelen heeft voor de software ontwikkeling en allerlei teststraten.Dat men terughoudend zou zijn voor kritieke bedrijfsprocessen is te idioot voor woorden. Juist kritieke bedrijfsprocessen (wall-street etc) wordt het veel gebruikt en ontbreekt CSS totaal.
Daarnaast is het aanhalen van een consumenten voorbeeld uit 2016 (Linux Mint) hilarisch vergeleken met het wereldwijde WannaCry CSS incident uit 2017
15-12-2022, 23:34 door
Joep Lunaar
"De kwaliteit van de code lijkt vooral te worden bepaald door professionaliteit van het ontwikkelteam en de manier waarop zij code ontwikkelen, los van of dit OSS of CSS is."
Hoe valt dit te rijmen met het gegeven dat bijna altijd closed source code die ge-open-sourced wordt - meestal tracht de ontwikkelaar daarmee de onderhoudslast met anderen te delen en soms ook wordt beoogd meer gebruik van die code - een flinke slag moet maken om de code op voldoende ambachtelijk niveau te brengen, of het nu gaat om de layout van de code, structuur, schoning van dode code enz. Belangrijke FOSS projecten stellen in de regel hoge eisen aan ingebrachte toevoegingen (patches); bij closed source is die disciplinerende werking veelal afwezig.
Hoe valt dit te rijmen met het gegeven dat bijna altijd closed source code die ge-open-sourced wordt - meestal tracht de ontwikkelaar daarmee de onderhoudslast met anderen te delen en soms ook wordt beoogd meer gebruik van die code - een flinke slag moet maken om de code op voldoende ambachtelijk niveau te brengen, of het nu gaat om de layout van de code, structuur, schoning van dode code enz. Belangrijke FOSS projecten stellen in de regel hoge eisen aan ingebrachte toevoegingen (patches); bij closed source is die disciplinerende werking veelal afwezig.
15-12-2022, 23:43 door
Joep Lunaar
Door Ron625: Even van een andere kant bekeken:
In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
Openbaring onder een open source licentie heeft niets uit te staan met verlies van auteursrechten.In België is het regel, dat software die wordt ontwikkeld door, of voor een overheid automatisch OpenSource wordt.
Dus de maker van de software is in dit soort gevallen automatisch de auteursrechten kwijt.
In Nederland blijft de maker van de software de auteursrechten houden, tenzij anders is afgesproken.
Gelukkig wordt Nederland slimmer en komt er steeds meer OSS beschikbaar, dat is ontwikkeld voor/door een overheid.
Daarnaast geeft dit ook een enorme besparing, omdat niet iedere overheid het wiel hoeft uit te vinden.
In België én Nederland heeft openbaring van de code zelden het gevolg dat de code daarmee in het "public domain" terecht komt; dat vereist een expliciete daarop gerichte handeling van de auteursrechthebbende en zonder dat blijf het auteursrecht gewoon bij de auteur (of het bedrijf waarvoor de auteur als werknemer de code heeft geschreven). De openbaring wordt in de regel gekoppeld aan beperkingen; share-alike (typisch CC en GPL) dan wel attributie en aansprakelijkheidsbeperking (typisch BSD).
15-12-2022, 23:52 door
Joep Lunaar
Door informatiebeveiliger: Wat een prietpraat van het NCSC
Feiten
-log4j is ook open source.. de lekke toep zat overal tussen.
-bijna niemand controleert open source code op achterdeurtjes
-https://www.agconnect.nl/artikel/scan-op-veiligheid-open-source-dweilen-met-kraan-open
Waar log4j geïntegreerd was in FOSS zijn de fix meestal opgepikt en gedistribueerd. Bij de closed source projecten die log4j integreerden was dat vaak anders en waren afnemers veelal niet op de hoogte van de aanwezigheid van de kwetsbaarheid of konden die zelfs niet ontdekken bij gebrek aan een bill-of-materials.Feiten
-log4j is ook open source.. de lekke toep zat overal tussen.
-bijna niemand controleert open source code op achterdeurtjes
-https://www.agconnect.nl/artikel/scan-op-veiligheid-open-source-dweilen-met-kraan-open
Door _R0N_:
Dat je een bepaalde niveau van onderhoud mag verwachten.
Waarom is dan windows koploper in aantallen fouten, koploper in langdurig ongepatchte fouten....Door Anoniem: Wat verandert een softwarelicentie aan de veiligheid van de software?
Dat je een bepaalde niveau van onderhoud mag verwachten.
Dat zou je niet verwachten omdat het CSS is.
Probleem zal eerder zijn dat CSS niet gemeten kan worden in qualiteit anders dan wij van wc-eend gehalte.
Daarnaast bleek bij een ernstig openssl issue dat windows plotseling ook issues had... microsoft had wat software "geleend". Openssl was in een week gerepareerd op de meeste platforms, windows moest een paar weken langer wachten.
Bij OSS ben je eventueel in staat om de kwaliteit te controleren, in plaats dat je maar moet hopen dat je verwachtingen kloppen.
Door _R0N_:
Dat je een bepaalde niveau van onderhoud mag verwachten.
Extreem voorbeeld van een probleem bij Open Source was wat er gebeurde met Log4j. Log4j was gemaakt door een paar knutselaars op een zolderkamer die nooit hadden gerekend op de manier waarop hun knutselwerk gebruikt zou worden. Toen er een probleem ontdekt werd hadden ze de capaciteit niet om het te fixen.
Het was eerder gefixt dan de CSS die er gebruik van maakte.Door Anoniem: Wat verandert een softwarelicentie aan de veiligheid van de software?
Dat je een bepaalde niveau van onderhoud mag verwachten.
Extreem voorbeeld van een probleem bij Open Source was wat er gebeurde met Log4j. Log4j was gemaakt door een paar knutselaars op een zolderkamer die nooit hadden gerekend op de manier waarop hun knutselwerk gebruikt zou worden. Toen er een probleem ontdekt werd hadden ze de capaciteit niet om het te fixen.
bedankt voor de post
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
