image

CISA: XZ-backdoor leert dat leveranciers moeten bijdragen aan open source

dinsdag 16 april 2024, 15:23 door Redactie, 5 reacties

Softwareleveranciers, techbedrijven en fabrikanten die van opensourcesoftware profiteren door het binnen hun producten te gebruiken moeten ook aan deze projecten bijdragen, zo stelt het Amerikaanse cyberagentschap CISA. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kan zo een nieuwe XZ-backdoor worden voorkomen.

Een aanvaller probeerde over een lange tijd het vertrouwen te winnen van de maintainer van het XZ-project, om vervolgens een backdoor aan de code toe te voegen. Volgens het CISA laat dit de kwetsbaarheid van het opensource-ecosysteem zien, en het risico van burn-out bij een maintainer. "We hebben geluk gehad dat de open aard van het opensource-ecosysteem ervoor heeft gezorgd dat een ontwikkelaar deze supplychain-aanval kon detecteren voordat die veel schade aanrichtte, maar de volgende hebben we misschien niet zoveel geluk."

De Amerikaanse overheidsdienst stelt dat de aanval laat zien dat er een fundamentele verandering nodig is. "Elke leverancier die van open source profiteert moet hun steentje bijdragen door een verantwoordelijke consument van te zijn en op een duurzame manier bij te dragen aan de packages waar ze op vertrouwen." Volgens het CISA zou de veiligheid van een opensourceproject niet op de schouders van een enkele maintainer mogen rusten, zoals in het geval van XZ bijna catastrofale gevolgen had kunnen hebben.

"Bedrijven die van opensourcesoftware gebruikmaken moeten teruggeven, ofwel financieel of door het beschikbaar maken van ontwikkeltijd, om zo voor een duurzaam ecosysteem te zorgen waar opensourceprojecten gezonden en diverse maintainer communities hebben die bestand zijn tegen burn-out", gaat het CISA verder. Dat vindt ook dat voor opensourceprojecten een secure by design aanpak moet worden gevolgd en leveranciers maintainers hierbij moeten helpen.

Reacties (5)
16-04-2024, 16:37 door Anoniem
Als je moet betalen, dan stel je ook eisen aan de leverancier. In het geval van open-source zit een hobbyist daar natuurlijk niet op te wachten. En bij betalingen horen ook weer BTW verplichtingen, maintenance wensen, etc.
Bovendien stelt de opkomende Cyber Resilience Act ook nog eisen aan luitjes die geld ontvangen voor software.
16-04-2024, 17:30 door Anoniem
Door Anoniem: Als je moet betalen, dan stel je ook eisen aan de leverancier.


Bijdragen en betalen zijn niet noodzakelijkerwijs hetzelfde. Het oude adagium op Internet (toen we dat nog met een hoofdletter schreven) was "Je neemt wat van het net, en je geeft wat aan het net"
16-04-2024, 19:09 door Anoniem
De backdoor in xz was een gulle bijdrage van een nog onbekende overheid. Misschien moet de overheid en het bedrijfsleven gaan helpen door open source software aan te vallen en kapot proberen te maken. Zodat de lekken die dan ontdekt worden kunnen worden gerepareerd door de maintainer van een project.

Tenminste als de overheden echt willen dat de software die ze gebruiken veiliger wordt in plaats van onveiliger.
17-04-2024, 08:58 door karma4
Duidelijk: "Elke leverancier die van open source profiteert moet hun steentje bijdragen door een verantwoordelijke consument van te zijn en op een duurzame manier bij te dragen aan de packages waar ze op vertrouwen." Volgens het CISA zou de veiligheid van een opensourceproject niet op de schouders van een enkele maintainer mogen rusten

Het betekent een complete aardverschuiving.
18-04-2024, 14:50 door Anoniem
Overheid komt met 'Cybercheck' voor in kaart brengen supply chain risico’s
donderdag 18 april 2024, 14:39 door Redactie

https://www.security.nl/posting/838402/Overheid:Cybercheck+voor+in+kaart+brengen+supply+chain+risico
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.