Meer open source in Brussel, EC vraagt communities om advies software audit

De Europese Commissie gaat open source gemeenschappen vragen mee te werken aan de IT security audit van één van de open source componenten in gebruik bij de Commissie en het Europees Parlement. De EC stelt nu een lijst op van alle open source-software in gebruik bij beide instituten en laat meebepalen welke hiervan worden onderzocht op mogelijke veiligheidsproblemen. 

 Het project is aangezwengeld door het Europees Parlement. Dat riep in januari 2016 de Commissie opnieuw op om meer gebruik te maken van vrije software. EU-Fossa (EU-Free and Open Source Software Auditing) is een proefproject, waarvan de Commissie hoopt dat het resulteert in het systematisch bijdragen van de EC aan open source-software. De EC heeft één miljoen euro te besteden – verdeeld in een handvol onderdelen, die voor uitvoering zijn gegund aan een tweetal IT adviesbureaus waarmee de EC momenteel meerjarige contracten heeft lopen. De voorbereiding kostte wat tijd, maar de EC hoopt dat deze zomer daadwerkelijke code wordt onderzocht en getest. Het project is, hoe dan ook, eind november 2016 voorbij.

De aanpak is inderdaad bureaucratisch, verontschuldigt ICT’er Marek Przybyszewski, die namens de EC het project aanstuurt. “Zo zijn de regels en zohoort de EC nu eenmaal projecten uit te voeren.” Op 31 januari 2016, op FOSDEM (Europa’s grootste, jaarlijkse open source-conferentie in Brussel) gaf hij een ‘lightning talk’. De precies 15-minuten-durende presentatie was het idee van een Franse consultant. Hij is al langer betrokken bij open source-projecten van de EC. Een drietal Spaanse ICT-adviseurs, van het concurrerende adviesbureau, keken verlegen en verdwaasd rond op Fosdem – bepaald anders dan hun werkomgeving.

Przybyszewski en de baas van zijn departement, Pierre Damas, zijn er veel aan gelegen dat het project slaagt. “Schroom niet, benader ons met vragen en, als het nodig is, met kritiek”, drukte Damas twee dagen eerder aan een twintigtal vertegenwoordigers van Europese open source-voorvechters op het hart.

De twee willen dat het EU-Fossa-project het makkelijker maakt voor de EC om bij te dragen aan open source-softwareprojecten. Er zijn nogal wat handtekeningen nodig voordat een IT’er die software ontwikkelt voor de EC deze code kan bijdragen, legt Damas uit. Dagelijks meeschrijven via Github is heel wat anders dan de code van een door de EC afgerond project publiceren onder een open source-licentie.

 Inspectie

De lightning talk werd bijgewoond door de Duitse Julia Reda. Zij is lid van het Europees Parlement en één van de initiatiefnemers voor het EU-Fossa project. Samen met haar Zweedse collega Max Andersson had ze in december 2014 de 1 miljoen euro voor de veiligheidsaudit van open source ingebracht als eis voor goedkeuring van de EC-begroting. Het is Reda die, direct na afloop van Przybyszewski’s presentatie, met Damas afspreekt dat het publiek en vooral groepen open source-ontwikkelaars mee beslissen welk component onderzocht gaat worden.

Reda en haar collega’s in het Europees Parlement dringen al langer aan op de overstap naar open source-software. Dat deed het EP in oktober 2015, toen het in een -met een grote meerderheid van stemmen aangenomen- motie opriep tot een systematische vervanging van ‘fabriekseigen software door inspecteerbare en controleerbare open source-software in alle EU-instellingen’. Het EP wil daarnaast dat open source een verplicht selectiecriterium wordt in alle ICT aanbestedingen.

Die oproep herhaalt het EP tien dagen vóór Fosdem in een lijst van adviezen voor- en aanmerkingen op de Digitale Agenda van de EC. Niet alleen moet de Commissie meer gebruik maken van open source, ook wil het Parlement dat dit type software wordt ingezet voor de grensoverschrijdende IT-projecten in de lidstaten. Open source zorgt immers voor concurrentie, dankzij interoperabiliteit en standaardisatie, aldus het EP.