Developers vertrouwen ten onrechte op open-source

Toegevoegd door Ozzie PHP, 5 jaar geleden

Developers vertrouwen ten onrechte op open-sourceOpen-source is in 2014 diverse malen zeer onveilig gebleken door de openbaring van diverse lekken. Zo ontstond paniek door de openbaring van lekken als Heartbleed, Shellshock en Poodle, wat overigens geen incidenten waren.

Jake Kouns, CISO bij beveiliger Risk Based Security, waarschuwt voor open-source code. Hij stelt dat het een mythe is dat open-source veilig is omdat iedereen ernaar kan kijken. "De realiteit is dat hoewel iedereen de code kan onderzoeken, het in de praktijk nauwelijks gebeurt en verantwoordelijkheid voor de kwaliteit wordt afgeschoven".

"Developers en bedrijven die gebruikmaken van third-party bibliotheken steken nauwelijks resources in het testen van andermans code. Iedereen denkt dat een ander wel lekken zal vinden en dat wat gepubliceerd wordt veilig is."

Afgelopen jaar zijn verschillende kwetsbaarheden gevonden in open-source bibliotheken als OpenSSL, LibTIFF, libpng, OpenJPEG, FFmpeg en Libev, terwijl deze door miljoenen bedrijven gebruikt worden.

Te weinig coders op een project en gebruikmaken van verouderde code zijn de grootste redenen voor de onveiligheid van open-source, stelt Kouns.

Meer nieuws

11/12/2018 Google sluit Google Plus na nieuw datalek
16/10/2018 'Drieduizend sites onbetrouwbaar vanwege onveilig Symantec certificaat'
11/10/2018 Symantec stelt blokkeren van Symantec-certificaten voorlopig uit
02/08/2018 PHP brengt eerste beta uit voor PHP 7.3
27/07/2018 Chrome beschouwt niet-SSL sites als onveilig
05/06/2018 Microsoft neemt GitHub over
04/06/2018 Firefox gaat trackingsbescherming duidelijk tonen
04/05/2018 Google introduceert Maps-API met 'pay as you go'-model
08/04/2018 Chrome wil van 'groene' slotje af
22/03/2018 Let's Encrypt introduceert nu ook 'wildcard certificaten'

 

Er zijn 11 reacties op 'Developers vertrouwen ten onrechte op opensource'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Ozzie PHP
Ozzie PHP
5 jaar geleden
 
0 +1 -0 -1
Heeft deze meneer gelijk en gaan developers er inderdaad te makkelijk vanuit dat open-source geheel veilig is? Wat vind jij? Denk jij dat open-source altijd veilig is, of juist niet?
Eddy E
Eddy E
5 jaar geleden
 
0 +1 -0 -1
Ik controleer NOOIT de software en ga er inderdaad blindelings vanuit dat het wel 'goed zit'.
Zeker bij dingen als Sympfony, phpBB, phpMyAdmin etc.
Elmar vH
Elmar vH
5 jaar geleden
 
0 +1 -0 -1
Ozzie aan het schrijven? Goed bezig!

De indruk die Eddy wekt, komt mij veel bekend voor, vooral bij mensen die bijvoorbeeld WP draaien. Software, ook al is het open-source, blijft altijd een puntje van gevaar, maar het grootste gevaar vind ik de gebruiker zelf. Deze vergeet nog wel eens de software te updaten, is te veel moeite, duurt te lang. Neem Windows update als voorbeeld, hoeveel mensen zijn al die patches meer dan zat.

Geef mij maar eigen-source, mogen andere mensen raden naar mijn (brakke, vergeten, slordige) ingangen, net zoals closed-source.
Voordeel van eigen software betekent ook zelf oplossing zoeken.

Dit zelfde vind ik ook met api's, er word echt ontzettend veel gebruik gemaakt van externe partijen. 1 dienst offline, je eigen website (of deel er van) gelijk onbruikbaar.

Vandaag heb ik een artikel gelezen over de veiligheid van talen.
http://i.imgur.com/J6itv9Y.png?1
Wat valt je op.. ;-)
Ozzie PHP
Ozzie PHP
5 jaar geleden
 
0 +1 -0 -1
>> Ozzie aan het schrijven? Goed bezig!

Lol :)

WP is inderdaad gevaarlijk. Had laatst iemand waarvan de site was gehackt en volstond met Arabische teksten.

Wat valt je op.. ;-)

Hmmm ... dat PHP niet zo veilig is :-/

Waar ligt dat dan aan vraag ik me af. Aan de installatie zelf of aan de systeembeheerder of programmeur die iets verkeerd heeft gedaan?
Jordi Kroon
Jordi Kroon
5 jaar geleden
 
0 +1 -0 -1
>> Zeker bij dingen als Sympfony, phpBB, phpMyAdmin etc.

Sympfony zou ik zelf niet echt vertrouwen. Symfony sneller.
Elmar vH
Elmar vH
5 jaar geleden
 
0 +1 -0 -1
"Hmmm ... dat PHP niet zo veilig is :-/"

Dat terzijde.. Waar draait bijvoorbeeld WP op? ;-)
Ozzie PHP
Ozzie PHP
5 jaar geleden
 
0 +1 -0 -1
Ja, op PHP uiteraard. Dat WP niet zo veilig is kan ik me voorstellen, maar een kale PHP installatie?
TJVB tvb
TJVB tvb
5 jaar geleden
 
0 +1 -0 -1
@Elmar, was dat geen artikel over de veiligheid van de installaties?
(Heel) veel websites draaien op php versies waarvan bekend is dat er veiligheidsproblemen zijn.

Een nadeel is dat een aantal grote projecten waaronder WP nog steeds PHP 5.2 blijven ondersteunen. Een uitgebreid artikel daarover staat hier: http://blog.ircmaxell.com/2014/12/on-php-version-requirements.html

Bij het gebruik van nieuwe opensource kijk ik vaak even of de code er fatsoenlijk uitziet. En of tickets actief worden opgelast. Maar ik controleer niet alles.
Eddy E
Eddy E
5 jaar geleden
 
0 +1 -0 -1
Drupal draait ook op PHP.
Ik vind het juist zo handig van Wordpress dat update hooguit 3 klikjes is.

Terwijl updaten phpBB 3.0 naar 3.1 echt bijna een schone installatie is. Je kan je database en bijlagen behouden, maar dat is het dan ook wel.
Wouter J
Wouter J
5 jaar geleden
 
0 +1 -0 -1
Erg objectief verhaaltje als je het mij vraagt.

Allereerst wordt hier alleen gekeken naar Open Source code, terwijl het hier juist gaat over de vergelijking van Open Source en Closed Source. Er worden 3 grote lekken genoemd, maar hoeveel heeft Closed Source er? Elke library, groot of klein heeft lekken. Het is immers een feit dat alles wat een mens kan afschermen ook door een mens gebroken kan worden. De tijd tussen het maken en het inbreken duurt tegenwoordig steeds langer, maar we gaan nooit iets 100% dichts kunnen uitvinden.

Daarnaast is dit een generalisatie van hier tot Tokio. Er is zo'n groot verschil tussen Library A en B. Veel projecten, vooral in de NodeJS wereld, zijn allemaal weekend projectjes. Maar de veel gebruikte projecten zijn vaak full-time open source projecten. Zie bijv. Symfony, waar een complete afdeling van SensioLabs betaald krijgt om full-time te werken aan dit framework.
Als je dat vergelijkt met hoe een Closed Source project wordt onderhouden dan is het enige verschil dat Symfony veel meer contributors heeft. Dat kan alleen een positief gevoel hebben.

Tevens wordt Symfony gebruikt door verschillende grote projecten en bedrijven. Hier werken ze nauw mee samen om security issues zo snel mogelijk op te lossen en te vinden. Zie ook http://symfony.com/doc/current/contributing/code/security.html

Open Source hoeft niet perse beter te zijn, maar ook niet perse slechter. Je kunt je afvragen in hoeverre Closed Source en Open Source projecten hierin van elkaar verschillen.
Ik denk dat er nog meer mensen zijn die Closed Source projecten blindelings vertrouwen (immers, als je ervoor betaald hebt moet het wel goed zijn).

Offtopic:
Goed initiatief Ozzie!
PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
John D
John D
5 jaar geleden
 
0 +1 -0 -1
En dan hebben we het nog niet eens over de achterdeurtjes. Dat is een fenomeen dat zeer moeilijk aan te tonen is tenzij je alle code gaat scannen. Niemand weet welke achterdeur in welke open source applicatie verstopt zit. Laatst las ik een bericht dat NSA bij Cisco afgedwongen heeft dat er backdoors in bijvoorbeeld route apparatuur zitten.

Wij maken op het werk geen gebruik van open source pakketten met uitzondering van een paar honderd gedownloade java applets, beans e.d. maar die gaan allemaal eerst langs een senior programmeur die ze goedkeurt.

Om te reageren heb je een account nodig en je moet ingelogd zijn.

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.