Er zullen altijd kwetsbaarheden in software zijn, dat is een onvermijdelijk feit. Net zoals er geen absolute beveiliging bestaat, is er ook geen foutloze codebase. Dit roept de vraag op: Hoe kunnen softwareproblemen het beste worden aangepakt, vooral op grote schaal? Dit hangt, zoals vaak het geval is bij beveiligingskwesties, af van verschillende factoren.
Open-source vs. Gesloten software
Open-source software biedt iedereen]de mogelijkheid om onder de motorkap te kijken en hopelijk beveiligings- of functionaliteitsproblemen op te lossen. Maar dit opent ook de deur voor mogelijke kwetsbaarheden of achterdeurtjes die onopgemerkt open kunnen blijven, soms jarenlang. Een onderzoek uit 2022, gepresenteerd op het 31e USENIX Security Symposium, benadrukte dit risico.
Gesloten software daarentegen vertrouwt op de geheimhouding van de broncode en de expertise van interne softwareontwikkelaars. Deze aanpak rust op de aannames dat de betreffende experts solide beveiligingskennis hebben en de broncode veilig houden. Of ze nu hun broncode beschikbaar stellen of niet, ontwikkelaars kunnen profiteren van documenten zoals OWASP Top Tien en de SEI CERT Codeerstandaarden, die de ontwikkeling van veilige coderingspraktijken bevorderen.
De geschiedenis van open-source
De geschiedenis van open-source software gaat terug tot de jaren 1950, maar pas in de jaren 1980 werd software in de Verenigde Staten als auteursrechtelijk beschermd beschouwd. Dit leidde tot veranderingen in de wijze waarop leveranciers met hun broncode omgingen. Sommige softwarebedrijven zagen open source software in de jaren 1980 en 2000 als een dreiging voor hun business voordat ze het in de jaren 2010 omarmden. Tegenwoordig bevordert de Techindustrie steeds meer publiek-private samenwerking op het gebied van open-source software.
Gesloten softwarebedrijven hebben ook de mogelijkheid om hun software bij te werken op basis van nieuwe problemen. Open source software vertrouwt daarentegen vaak op vrijwilligers om problemen aan te pakken, wat kan leiden tot vertragingen in updates en bugfixes. Bug bounty-programma's, zoals die aangeboden door Google en Huntr, bieden een mogelijkheid om geld te verdienen met het opsporen en oplossen van kwetsbaarheden in open-source software.
Het midden van moderne software
De realiteit van moderne software ligt ergens in het midden. Veel closed-source projecten vertrouwen op open-source software als basis voordat ze hun eigen aanpassingen doen. Dit bespaart tijd en middelen. Sommige open-source-georiënteerde bedrijven dragen actief bij aan open-source projecten en kunnen het zich veroorloven om mensen in dienst te nemen om problemen op te lossen.
Een secundair voordeel van open-source software is dat het gemeenschappen helpt opbouwen rond specifieke behoeften, zoals veilige communicatiesoftware. Dit heeft geresulteerd in privacybeschermende projecten zoals Proton en Signal, met sterke reputaties voor beveiliging en privacybescherming.
Het belang van betrouwbaarheid en snelheid
Het is belangrijk op te merken dat zelfs de meest gebruikte closed-source software vaak kwetsbaarheden kan bevatten. Uiteindelijk draait het niet om het type softwarelicentie, maar om het ontwikkelingsproces en de snelheid van oplossingen voor kwetsbaarheden. Organisaties moeten zich richten op de betrouwbaarheid en snelheid van hun beveiligingsoplossingen, ongeacht of ze open- of closed-source software gebruiken.
In de moderne hybride softwarewereld is het cruciaal dat organisaties openstaan voor bijdragen en suggesties van de bredere beveiligingsgemeenschap. Goede reputaties en betrouwbare teams zijn van onschatbare waarde voor het verbeteren van de digitale beveiliging. Perfecte beveiliging mag dan wel onbereikbaar zijn, maar goede beveiligingspraktijken kunnen aanzienlijk bijdragen aan een veiligere digitale omgeving.