5 maatregelen om open source veiliger te gebruiken

Dat beweert Mike Pittenger van Black Duck Software op ITProPortal. Black Duck Software is zelf actief met advies over en producten voor het beveiligen van opensourcesoftware.

Open source is wijd verbreid, constateert Pittenger. Recent onderzoek van zijn bedrijf en Northbridge leverde op dat 78 procent van de respondenten open source in gebruik had. Meer dan de helft had echter geen formeel beleid met betrekking tot de toepassing van opensourcecomponenten. Niet meer dan 1 op de 6 had een geautomatiseerd proces voor goedkeuring van codecomponenten ingericht, en 6 op de 10 hielden geen inventaris bij van gebruikte opensourcecomponenten. Meer dan de helft realiseert zich dat er te weinig zicht is op beveiligingsrisico’s in opensourcecomponenten, maar toch heeft niet meer dan 17 procent plannen om opensourcecode te monitoren op beveiligingsproblemen.

Pittengers conclusie is dat veel bedrijven er bij softwareontwikkelingen onveilige praktijken op nahouden. Wie die schoen past, adviseert hij:

• Inventariseer welke opensourcecomponenten in gebruik zijn. Dat kan handmatig, maar met tools die de code basis automatisch scannen gebeurt het grondiger. 
• Bouw kennis op over de consequenties van opensourcelicenties. Beveiliging in open source is meer dan kwetsbaarheden identificeren; je moet ook weten welke verplichtingen je als bedrijf bent aangegaan via de licenties van opensourcecomponenten die bij ontwikkeling zijn gebruikt.
• Automatiseer het beheer over opensourcesoftware. Dat vergroot het inzicht en voorkomt dat ontwikkelaars uit frustratie over ingewikkelde of tijdrovende administratieve taken omweggetjes creëren.
• Doorzoek je opensourcecode op kwetsbaarheden. De National Vulnerability Database van de Amerikaanse overheid is een goede bron. Deze NVD, maar bijvoorbeeld ook VulnDB, bieden ook tools om je codebasis automatisch te doorzoeken op bekende kwetsbaarheden.
• Blijf ook alert op nieuwe kwetsbaarheden, en scan je codebasis regelmatig op nieuw ontdekte problemen.