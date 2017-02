Als we de code gebruiken, moeten we goed beseffen hoe het is ontworpen.

Vandaag de dag is open source software de norm in plaats van de uitzondering. Er worden grote hoeveelheden code ontwikkeld en die code duikt op in kritieke toepassingen. Dat levert grote voordelen op voor gebruikers ervan, maar programmeurs moeten zich er ook bewust van zijn dat ze de binnengehaalde code doorlichten voor ze het implementeren.

Josh Bressers is security-strateeg bij open source-leverancier Red Hat. Hij benadrukte dit punt in gesprek met IDG-journalist Paul Krill. Het interview volgt hieronder.

Paul Krill: Waarom maakt Red Hat zich opeens druk om open source-beveiliging?

Josh Bressers: We benadrukken dit al een hele tijd. We hebben tegenwoordig een keten van toeleveranciers van code in plaats van één persoon of partij die software leverde. We zien het nu meer als een channel: leveranciers bouwen onderdelen die worden verwerkt in het product. Net als met hardware is het zo dat als je onderdelen van lage kwaliteit gebruikt, je per definitie een eindproduct krijgt van een lagere kwaliteit.

Ik denk dat we eindelijk beginnen te beseffen dat als je software gebruikt die een commerciële partij of de open source-community aanlevert en je niet precies weet wat het is of niet weet wat de kwaliteit ervan is, de kwaliteit van jouw eindproduct eronder lijdt. Ontwikkelaars die ideeën vinden op GitHub en via Stack Overflow zijn zich niet noodzakelijkerwijs bewust van wat ze precies downloaden en hoe dat wordt onderhouden.

Open source heeft gewonnen van propriëtair: het is overal. Maar dat betekent dat we te maken hebben met een toeleveranciersketen en we moeten nadenken over wat daar de gevolgen van zijn en hoe we daarmee omgaan, want software veroudert en veroudert slecht. We kunnen niet zomaar software in ons project trekken zonder precies te weten wat de effecten op korte en lange termijn zijn.

Krill: Dus wat nu?

Bressers: Het uitgangspunt is dat we vooral moeten begrijpen waar software vandaan komt. In een open source-context betekent dit dat we ernaar moeten kijken zoals we naar een third-party leverancier kijken, dus vooral naar wie erop let. In een zakelijke omgeving heb je óf een team nodig dat kritisch naar codedelen kijkt, of dat je een leverancier vindt die met je kan samenwerken om de code uit te pluizen om te zien wat werkt, wat slecht is, hoe het wordt bijgewerkt - en dat je zeker weet dat je begrijpt wat dit inhoudt.

Dat stukje missen we vandaag. Er zijn veel organisaties waarbij ontwikkelaars zien wat er is in de open source-wereld, code gebruiken die ze nodig hebben en er vervolgens niet meer naar omkijken. Het is logisch dat als je dit doet en de code nooit herziet, er op een moment een probleem ontstaat in de software dat aandacht verdient. Kijk naar Heartbleed. Dat is een prachtig voorbeeld van wat er mis kan gaan: de meeste mensen die OpenSSL in hun applicatie gebruikten realiseerden zich niet dat er een issue was.

