Developers vertrouwen ten onrechte op open-source

Toegevoegd door Ozzie PHP, 12 jaar geleden

Developers vertrouwen ten onrechte op open-sourceOpen-source is in 2014 diverse malen zeer onveilig gebleken door de openbaring van diverse lekken. Zo ontstond paniek door de openbaring van lekken als Heartbleed, Shellshock en Poodle, wat overigens geen incidenten waren.

Jake Kouns, CISO bij beveiliger Risk Based Security, waarschuwt voor open-source code. Hij stelt dat het een mythe is dat open-source veilig is omdat iedereen ernaar kan kijken. "De realiteit is dat hoewel iedereen de code kan onderzoeken, het in de praktijk nauwelijks gebeurt en verantwoordelijkheid voor de kwaliteit wordt afgeschoven".

"Developers en bedrijven die gebruikmaken van third-party bibliotheken steken nauwelijks resources in het testen van andermans code. Iedereen denkt dat een ander wel lekken zal vinden en dat wat gepubliceerd wordt veilig is."

Afgelopen jaar zijn verschillende kwetsbaarheden gevonden in open-source bibliotheken als OpenSSL, LibTIFF, libpng, OpenJPEG, FFmpeg en Libev, terwijl deze door miljoenen bedrijven gebruikt worden.

Te weinig coders op een project en gebruikmaken van verouderde code zijn de grootste redenen voor de onveiligheid van open-source, stelt Kouns.

Meer nieuws

10/12/2024 Hackers stelen keys door JS-library van Solana-apps over te nemen
08/12/2024 Miljoenensubsidie voor programmeren in het basis- en middelbaar onderwijs
15/11/2024 Google's VirusTotal krijgt nieuw IP-adres
05/11/2024 SIDN mag nl-domeinen op verzoek meldpunt internetoplichting direct offline halen
04/11/2024 Inlogdienst Okta accepteerde elk wachtwoord in bepaalde situaties
01/09/2024 WooCommerce plugin voor wenslijsten vatbaar voor misbruik
01/09/2024 Google Chrome-gebruikers via download getroffen door door rootkit-malware
05/07/2024 Gronings taxibedrijf wint 'Lelijkste website van het jaar'
04/07/2024 Veelgebruikte javascript-bibliotheek met malafide code onbereikbaar gemaakt
13/06/2024 PHP verhelpt kritiek beveiligingslek in Windows-versie

 

Er zijn 11 reacties op 'Developers vertrouwen ten onrechte op opensource'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Ozzie PHP
Ozzie PHP
12 jaar geleden
 
0 +1 -0 -1
Heeft deze meneer gelijk en gaan developers er inderdaad te makkelijk vanuit dat open-source geheel veilig is? Wat vind jij? Denk jij dat open-source altijd veilig is, of juist niet?
Eddy E
Eddy E
12 jaar geleden
 
0 +1 -0 -1
Ik controleer NOOIT de software en ga er inderdaad blindelings vanuit dat het wel 'goed zit'.
Zeker bij dingen als Sympfony, phpBB, phpMyAdmin etc.
E vH
E vH
12 jaar geleden
 
0 +1 -0 -1
Ozzie aan het schrijven? Goed bezig!

De indruk die Eddy wekt, komt mij veel bekend voor, vooral bij mensen die bijvoorbeeld WP draaien. Software, ook al is het open-source, blijft altijd een puntje van gevaar, maar het grootste gevaar vind ik de gebruiker zelf. Deze vergeet nog wel eens de software te updaten, is te veel moeite, duurt te lang. Neem Windows update als voorbeeld, hoeveel mensen zijn al die patches meer dan zat.

Geef mij maar eigen-source, mogen andere mensen raden naar mijn (brakke, vergeten, slordige) ingangen, net zoals closed-source.
Voordeel van eigen software betekent ook zelf oplossing zoeken.

Dit zelfde vind ik ook met api's, er word echt ontzettend veel gebruik gemaakt van externe partijen. 1 dienst offline, je eigen website (of deel er van) gelijk onbruikbaar.

Vandaag heb ik een artikel gelezen over de veiligheid van talen.
Afbeelding
Wat valt je op.. ;-)
Ozzie PHP
Ozzie PHP
12 jaar geleden
 
0 +1 -0 -1
>> Ozzie aan het schrijven? Goed bezig!

Lol :)

WP is inderdaad gevaarlijk. Had laatst iemand waarvan de site was gehackt en volstond met Arabische teksten.

Wat valt je op.. ;-)

Hmmm ... dat PHP niet zo veilig is :-/

Waar ligt dat dan aan vraag ik me af. Aan de installatie zelf of aan de systeembeheerder of programmeur die iets verkeerd heeft gedaan?
Jordi Kroon
Jordi Kroon
12 jaar geleden
 
0 +1 -0 -1
>> Zeker bij dingen als Sympfony, phpBB, phpMyAdmin etc.

Sympfony zou ik zelf niet echt vertrouwen. Symfony sneller.
E vH
E vH
12 jaar geleden
 
0 +1 -0 -1
"Hmmm ... dat PHP niet zo veilig is :-/"

Dat terzijde.. Waar draait bijvoorbeeld WP op? ;-)
Ozzie PHP
Ozzie PHP
12 jaar geleden
 
0 +1 -0 -1
Ja, op PHP uiteraard. Dat WP niet zo veilig is kan ik me voorstellen, maar een kale PHP installatie?
TJVB tvb
TJVB tvb
12 jaar geleden
 
0 +1 -0 -1
@Elmar, was dat geen artikel over de veiligheid van de installaties?
(Heel) veel websites draaien op php versies waarvan bekend is dat er veiligheidsproblemen zijn.

Een nadeel is dat een aantal grote projecten waaronder WP nog steeds PHP 5.2 blijven ondersteunen. Een uitgebreid artikel daarover staat hier: http://blog.ircmaxell.com/2014/12/on-php-version-requirements.html

Bij het gebruik van nieuwe opensource kijk ik vaak even of de code er fatsoenlijk uitziet. En of tickets actief worden opgelast. Maar ik controleer niet alles.
Eddy E
Eddy E
12 jaar geleden
 
0 +1 -0 -1
Drupal draait ook op PHP.
Ik vind het juist zo handig van Wordpress dat update hooguit 3 klikjes is.

Terwijl updaten phpBB 3.0 naar 3.1 echt bijna een schone installatie is. Je kan je database en bijlagen behouden, maar dat is het dan ook wel.
Wouter J
Wouter J
12 jaar geleden
 
0 +1 -0 -1
Erg objectief verhaaltje als je het mij vraagt.

Allereerst wordt hier alleen gekeken naar Open Source code, terwijl het hier juist gaat over de vergelijking van Open Source en Closed Source. Er worden 3 grote lekken genoemd, maar hoeveel heeft Closed Source er? Elke library, groot of klein heeft lekken. Het is immers een feit dat alles wat een mens kan afschermen ook door een mens gebroken kan worden. De tijd tussen het maken en het inbreken duurt tegenwoordig steeds langer, maar we gaan nooit iets 100% dichts kunnen uitvinden.

Daarnaast is dit een generalisatie van hier tot Tokio. Er is zo'n groot verschil tussen Library A en B. Veel projecten, vooral in de NodeJS wereld, zijn allemaal weekend projectjes. Maar de veel gebruikte projecten zijn vaak full-time open source projecten. Zie bijv. Symfony, waar een complete afdeling van SensioLabs betaald krijgt om full-time te werken aan dit framework.
Als je dat vergelijkt met hoe een Closed Source project wordt onderhouden dan is het enige verschil dat Symfony veel meer contributors heeft. Dat kan alleen een positief gevoel hebben.

Tevens wordt Symfony gebruikt door verschillende grote projecten en bedrijven. Hier werken ze nauw mee samen om security issues zo snel mogelijk op te lossen en te vinden. Zie ook http://symfony.com/doc/current/contributing/code/security.html

Open Source hoeft niet perse beter te zijn, maar ook niet perse slechter. Je kunt je afvragen in hoeverre Closed Source en Open Source projecten hierin van elkaar verschillen.
Ik denk dat er nog meer mensen zijn die Closed Source projecten blindelings vertrouwen (immers, als je ervoor betaald hebt moet het wel goed zijn).

Offtopic:
Goed initiatief Ozzie!
PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
John D
John D
12 jaar geleden
 
0 +1 -0 -1
En dan hebben we het nog niet eens over de achterdeurtjes. Dat is een fenomeen dat zeer moeilijk aan te tonen is tenzij je alle code gaat scannen. Niemand weet welke achterdeur in welke open source applicatie verstopt zit. Laatst las ik een bericht dat NSA bij Cisco afgedwongen heeft dat er backdoors in bijvoorbeeld route apparatuur zitten.

Wij maken op het werk geen gebruik van open source pakketten met uitzondering van een paar honderd gedownloade java applets, beans e.d. maar die gaan allemaal eerst langs een senior programmeur die ze goedkeurt.

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.