Development

Security
developers

Hergebruik van open source geeft beveiligingsproblemen

Codehergebruik blijkt niet goed ingericht op security.

© Algemene Rekenkamer
22 juni 2022

Codehergebruik blijkt niet goed ingericht op security.

Veel organisaties en developers houden te weinig of geen rekening met beveiliging bij hun gebruik en hergebruik van opensourcecode. Het algemene gebruik van opensourcesoftware (OSS) in moderne applicatieontwikkeling brengt aanzienlijke securityrisico's met zich, blijkt uit onderzoek van Snyk en The Linux Foundation. Effectieve risicobeheersing is niet mogelijk doordat veel organisaties te slecht voorbereid zijn.

De onveiligheid die gebruik van open source met zich meebrengt, wordt volgens het onderzoeksrapport The State of Open Source Security veroorzaakt door verschillende factoren. Daaronder enerzijds de aanwezigheid van kwetsbaarheden en direct afhankelijkheden (dependencies) in ontwikkelprojecten voor applicaties. Anderzijds speelt de tijd mee die het kost om kwetsbaarheden in opensourceprojecten te verhelpen. Die tijd is gestaag toegenomen: van 49 dagen in 2018 naar 110 dagen in 2021.

Softwaresupplychains

De populariteit en kracht van open source heeft ervoor gezorgd dat veel applicatie-ontwikkelteams voor hun producten gebruik maken van code uit uiteenlopende bronnen. Dit kan hergebruik van code zijn uit andere applicaties van hun organisatie of werkgever, code die ze mogelijk zelf eerder hebben geschreven. Maar de (her)gebruikte code kan ook open source zijn, die ontwikkelaars zoeken en in vinden in code-repositories op basis van gewenste functionaliteit voor de te ontwikkelen eigen applicaties. Cybersecuritybedrijf Snyk en opensourcestichting Linux Foundation stellen dat gebruik van open source een nieuwe manier van denken vereist over developer security en dat veel organisaties dit nog niet beheersen.

Door het codehergebruik hebben softwareontwikkelaars namelijk hun eigen supply chains, stelt Matt Jarvis, directeur Developer Relations bij Snyk. "In plaats van onderdelen samen te stellen, stellen ze nu code samen door bestaande open source-componenten te patchen met hun unieke code. Hoewel dit leidt tot meer productiviteit en innovatie, leidt het ook tot aanzienlijke securityproblemen." Dit is pijnlijk duidelijk gemaakt door recente grote security-incidenten, zoals de internationale zaak van Log4j. Die opensourcelogtool bleek kwetsbaar én in gebruik te zijn in vele verschillende software- en ook hardwareproducten van uiteenlopende leveranciers.

Efficiëntie, innovatie, plus risico's

Jarvis waarschuwing over securityproblemen krijgt bijval van opensource-expert Brian Behlendorf, hoofdontwikkelaar van de veelgebruikte Apache-webserver en algemeen directeur bij de Open Source Security Foundation (OpenSSF). "Hoewel open source-software er ongetwijfeld voor zorgt dat ontwikkelaars efficiënter te werk kunnen gaan en het leidt tot versnelde innovatie, maakt de manier waarop moderne applicaties in elkaar worden gezet ze ook uitdagender om ze te beveiligen."

Uit het onderzoek is naar voren gekomen dat minder dan de helft (49%) van de organisaties een securitybeleid heeft voor OSS-ontwikkeling of OSS-gebruik. Bij middelgrote tot grote bedrijven is het nog slechter gesteld: daar heeft minder dan een derde (27%) securitybeleid op dit gebied. Verder erkent net niet een derde (30%) van de organisaties die géén securitybeleid voor open source hebben dat er niemand in hun ontwikkelteams zich direct bezighoudt met opensourcesecurity. Snyk-topman Jarvis spreekt dan ook van "naïviteit in de industrie over de huidige staat van opensourcesecurity".

Adviezen voor ontwikkelaars

Het bedrijf, dat beveiligingsmiddelen biedt voor developers, wil de bevindingen uit het onderzoeken samen met The Linux Foundation gebruiken om "ontwikkelaars wereldwijd verder te onderwijzen en uit te rusten zodat ze snel kunnen blijven bouwen terwijl de veiligheid gewaarborgd blijft". Het onderzoek van Snyk en de Linux Foundation is opgezet op basis van interviews in maart dit jaar met zowel ICT-beveiligingsexperts als ook ontwikkelaars (maintainers) van opensourcesoftware. Daarna zijn in april wereldwijd ontwikkelaars en hergebruikers van opensourcesoftware bevraagd over hun werkwijze en beveiligingsaanpak.

Snyk en de Linux Foundation houden op dinsdagavond 28 en woensdagavond 29 juni een gratis webinar over hun onderzoeksrapport, waarbij ze ontwikkelaars aanbevolen acties geven om de veiligheid van OSS-ontwikkeling te verbeteren.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.