Innovatie & Strategie

Security
scan

Securityscantool KAT van VWS nu echt open voor allen

Open sourcen van broncode KAT is vóór zomerreces gelukt.

© CC0,  Clker-Free-Vector-Images
4 juli 2022

Open sourcen van broncode KAT is vóór zomerreces gelukt.

De securityscantool KAT, ontwikkeld door het ministerie van VWS, is nu als open source beschikbaar waardoor iedereen er mee aan de slag kan. Naast gebruik betreft dat dus ook doorontwikkeling, toevoegingen en eventuele aftakkingen. De openbare publicatie van de broncode is vrijdag gedaan en ondersteunt daarbij naast Nederlands en Engels ook de creoolse taal Papiamento. In het weekend hebben sommige ontwikkelaars zich al op de OpenKAT-software gestort.

De Kwetsbaarheden Analyse Tool (KAT) is een systeem dat het Nederlandse ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft ontwikkeld in en vanwege de coronacrisis. Het ministerie had namelijk dringend iets nodig om grip te krijgen op securitycontrole van bijvoorbeeld bedrijven die coronatests aanbieden. De testresultaten van die externe partijen kwamen namelijk in de officiële CoronaCheck-app en dat moest dus zeer betrouwbaar zijn. In de praktijk bleek de beveiliging bij coronatesters niet altijd op orde. KAT heeft dat probleem aangepakt.

Naar hoger plan tillen

De broncode is uitgebracht afgelopen vrijdag, op feestdag Keti Koti wat de ondersteuning voor Papiamento verklaart. Het vrijgeven van deze source is gedaan onder de opensourcelicentie EU PL 1.2. Die European Union Public Licence is een licentie vanuit de EU voor vrije software, die het vrijgeven van broncode door openbare bestuursorganen moet stimuleren. Dit vanuit de gedachte dat software ontwikkeld voor of door overheden in wezen is bekostigd uit publieke gelden (zoals belastingen) en daarmee dus zelf een publiek goed zouden moeten zijn. Verder speelt natuurlijk ook mee dat het delen van broncode alle gebruikers ervan naar een hoger plan kunnen tillen doordat ontwikkeling niet telkens dezelfde basisfunctionaliteit opnieuw hoeft 'uit te vinden'.

Gebruikers maar ook externe andere partijen kunnen bijdragen aan de ontwikkeling van open source, wat nu dus ook geldt voor OpenKAT. Op de site voor die securitysoftware worden al enkele meewerkende organisaties genoemd, zoals Z-CERT (computernoodteam voor de zorg), de Auditdienst van het Rijk, zorgsoftwarebedrijf SDB Groep, het CERT-WM (voor de Waterschappen), en de ziekenhuizen Bravis (te Roosendaal) en Catharina (te Eindhoven).

Aansluiten, uitbreiden, aanvullen

KAT sluit aan op diverse andere securitypakketten, waardoor het dus niet een concurrent wil zijn maar een aanvulling op bestaande systemen voor ICT-beveiliging. Verder valt de functionaliteit van KAT zelf uit te breiden met plug-ins. De release van de broncode (op de GitHub-repository van VWS) komt ook met begeleidende middelen om gebruik en ontwikkeling te versoepelen. Dit betreft naast een introductie voor die scantool ook gedetailleerde documentatie, plus aanvullend een groep op zakelijk social network LinkedIn en een apart kanaal op het klassieke online-communicatiemedium IRC (Internet Relay Chat).

KAT-sessie op SecurityCongres AG Connect

Brenno  de Winter, chief security and privacy operations bij het ministerie van VWS (Volksgezondheid, Welzijn en Sport), heeft de opzet en ontwikkeling van KAT uiteengezet op het SecurityCongres dat AG Connect in april dit jaar heeft gehouden. Daarbij heeft hij ook verteld over de ambitieuze plannen om deze krachtige securityscantool als open source beschikbaar te stellen. In de juni-editie van AG Connects magazine is de Kwetsbaarheden Analyse Tool belicht voor iedereen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.