Developers vertrouwen ten onrechte op open-source
Open-source is in 2014 diverse malen zeer onveilig gebleken door de openbaring van diverse lekken. Zo ontstond paniek door de openbaring van lekken als Heartbleed, Shellshock en Poodle, wat overigens geen incidenten waren.
Jake Kouns, CISO bij beveiliger Risk Based Security, waarschuwt voor open-source code. Hij stelt dat het een mythe is dat open-source veilig is omdat iedereen ernaar kan kijken. "De realiteit is dat hoewel iedereen de code kan onderzoeken, het in de praktijk nauwelijks gebeurt en verantwoordelijkheid voor de kwaliteit wordt afgeschoven".
"Developers en bedrijven die gebruikmaken van third-party bibliotheken steken nauwelijks resources in het testen van andermans code. Iedereen denkt dat een ander wel lekken zal vinden en dat wat gepubliceerd wordt veilig is."
Afgelopen jaar zijn verschillende kwetsbaarheden gevonden in open-source bibliotheken als OpenSSL, LibTIFF, libpng, OpenJPEG, FFmpeg en Libev, terwijl deze door miljoenen bedrijven gebruikt worden.
Te weinig coders op een project en gebruikmaken van verouderde code zijn de grootste redenen voor de onveiligheid van open-source, stelt Kouns.
Meer nieuws
16/10/2018 'Drieduizend sites onbetrouwbaar vanwege onveilig Symantec certificaat'
11/10/2018 Symantec stelt blokkeren van Symantec-certificaten voorlopig uit
02/08/2018 PHP brengt eerste beta uit voor PHP 7.3
27/07/2018 Chrome beschouwt niet-SSL sites als onveilig
05/06/2018 Microsoft neemt GitHub over
04/06/2018 Firefox gaat trackingsbescherming duidelijk tonen
04/05/2018 Google introduceert Maps-API met 'pay as you go'-model
08/04/2018 Chrome wil van 'groene' slotje af
22/03/2018 Let's Encrypt introduceert nu ook 'wildcard certificaten'
08/02/2018 WordPress brengt patch uit voor kritieke bug in update-functie
Er zijn 11 reacties op 'Developers vertrouwen ten onrechte op opensource'
-0 
-0
Zeker bij dingen als Sympfony, phpBB, phpMyAdmin etc.
-0
De indruk die Eddy wekt, komt mij veel bekend voor, vooral bij mensen die bijvoorbeeld WP draaien. Software, ook al is het open-source, blijft altijd een puntje van gevaar, maar het grootste gevaar vind ik de gebruiker zelf. Deze vergeet nog wel eens de software te updaten, is te veel moeite, duurt te lang. Neem Windows update als voorbeeld, hoeveel mensen zijn al die patches meer dan zat.
Geef mij maar eigen-source, mogen andere mensen raden naar mijn (brakke, vergeten, slordige) ingangen, net zoals closed-source.
Voordeel van eigen software betekent ook zelf oplossing zoeken.
Dit zelfde vind ik ook met api's, er word echt ontzettend veel gebruik gemaakt van externe partijen. 1 dienst offline, je eigen website (of deel er van) gelijk onbruikbaar.
Vandaag heb ik een artikel gelezen over de veiligheid van talen.
Wat valt je op.. ;-)
-0
Lol :)
WP is inderdaad gevaarlijk. Had laatst iemand waarvan de site was gehackt en volstond met Arabische teksten.
Wat valt je op.. ;-)
Hmmm ... dat PHP niet zo veilig is :-/
Waar ligt dat dan aan vraag ik me af. Aan de installatie zelf of aan de systeembeheerder of programmeur die iets verkeerd heeft gedaan?
-0
Sympfony zou ik zelf niet echt vertrouwen. Symfony sneller.
-0
Dat terzijde.. Waar draait bijvoorbeeld WP op? ;-)
-0
-0
(Heel) veel websites draaien op php versies waarvan bekend is dat er veiligheidsproblemen zijn.
Een nadeel is dat een aantal grote projecten waaronder WP nog steeds PHP 5.2 blijven ondersteunen. Een uitgebreid artikel daarover staat hier: http://blog.ircmaxell.com/2014/12/on-php-version-requirements.html
Bij het gebruik van nieuwe opensource kijk ik vaak even of de code er fatsoenlijk uitziet. En of tickets actief worden opgelast. Maar ik controleer niet alles.
-0
Ik vind het juist zo handig van Wordpress dat update hooguit 3 klikjes is.
Terwijl updaten phpBB 3.0 naar 3.1 echt bijna een schone installatie is. Je kan je database en bijlagen behouden, maar dat is het dan ook wel.
-0
Allereerst wordt hier alleen gekeken naar Open Source code, terwijl het hier juist gaat over de vergelijking van Open Source en Closed Source. Er worden 3 grote lekken genoemd, maar hoeveel heeft Closed Source er? Elke library, groot of klein heeft lekken. Het is immers een feit dat alles wat een mens kan afschermen ook door een mens gebroken kan worden. De tijd tussen het maken en het inbreken duurt tegenwoordig steeds langer, maar we gaan nooit iets 100% dichts kunnen uitvinden.
Daarnaast is dit een generalisatie van hier tot Tokio. Er is zo'n groot verschil tussen Library A en B. Veel projecten, vooral in de NodeJS wereld, zijn allemaal weekend projectjes. Maar de veel gebruikte projecten zijn vaak full-time open source projecten. Zie bijv. Symfony, waar een complete afdeling van SensioLabs betaald krijgt om full-time te werken aan dit framework.
Als je dat vergelijkt met hoe een Closed Source project wordt onderhouden dan is het enige verschil dat Symfony veel meer contributors heeft. Dat kan alleen een positief gevoel hebben.
Tevens wordt Symfony gebruikt door verschillende grote projecten en bedrijven. Hier werken ze nauw mee samen om security issues zo snel mogelijk op te lossen en te vinden. Zie ook http://symfony.com/doc/current/contributing/code/security.html
Open Source hoeft niet perse beter te zijn, maar ook niet perse slechter. Je kunt je afvragen in hoeverre Closed Source en Open Source projecten hierin van elkaar verschillen.
Ik denk dat er nog meer mensen zijn die Closed Source projecten blindelings vertrouwen (immers, als je ervoor betaald hebt moet het wel goed zijn).
Offtopic:
Goed initiatief Ozzie!
-0
Wij maken op het werk geen gebruik van open source pakketten met uitzondering van een paar honderd gedownloade java applets, beans e.d. maar die gaan allemaal eerst langs een senior programmeur die ze goedkeurt.
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu