Het Nationaal Cyber Security Centrum waarschuwt voor de risico’s van het gebruik van open source software. De overheidsorganisatie ziet dat open source software (OSS) inmiddels vrijwel overal is, vaak ook als componenten binnen betaalde producten. In een uitgebreid ‘advies’ zet het NCSC de risico’s op een rijtje.
In de praktijk blijkt dat het open, transparante karakter van OSS niet maakt dat het ook vrij is van kwetsbaarheden, schrijft de organisatie, in tegenstelling tot wat vaak wordt aangenomen. “Het overgrote deel van de OSS (componenten) die in gebruik zijn, bevat meerdere kwetsbaarheden, soms ook ernstige. Het open karakter van OSS kan juist ook bepaalde nieuwe risico’s introduceren.”
De inzet van open source software kent specifieke continuïteitsrisico’s. “Er is namelijk veelal niet één specifieke (professionele) partij verantwoordelijk voor de continuïteit, het beheer en het tijdig patchen van software.” Omdat dit vaak gebeurt door een collectief van (vrijwillige) ontwikkelaars, kan die groep klein en kwetsbaar zijn. Gebruikers van OSS moeten daarom de ontwikkeling, professionaliteit en robuustheid van de betreffende OSS-community continu blijven volgen, zegt het NCSC.
Het vaak ontbreken van een aanwijsbare eindverantwoordelijke partij voor de (door) ontwikkeling, beveiliging en het beheer van OSS, compliceert ook de security governance en compliance borging. “De specifieke security risico’s die gelden bij open source software vragen om een goede, continue risico afweging. De inzetbaarheid zal ondermeer afhangen van de robuustheid en professionaliteit van de betreffende OS-community, hun werkwijze en het inzetscenario voor de betreffende software. Dat kan betekenen dat OSS soms wel, en in andere gevallen niet, toepasbaar is.”
Het advies sluit af met een ‘handreiking veilig gebruik van Open Source’ en is hier te downloaden.