Open source software (OSS) heeft de afgelopen decennia wereldwijd een voorname stempel gedrukt op de ontwikkeling van digitale dienstverlening. Op dit moment bestaat het overgrote deel van de digitale producten en diensten zelfs uit één of meerdere OSS-componenten. Open source is daarmee overal en veel organisaties binnen de Greenport-sector gebruikt ook open source software. Het NCSC heeft een factsheet geschreven met achtergrondinformatie én adviezen bij het gebruik van open source software.
Het gebruik en de ontwikkeling van OSS kent diverse voordelen en (daardoor) een groeiende belangstelling. Naast voordelen kent de inzet van OSS echter ook specifieke risico’s en uitdagingen. Het NCSC heeft hierover dit advies geschreven. Het gaat over de security risico’s van OSS en over de daarbij behorende afwegingen en te nemen beheersmaatregelen.
De belangrijkste punten in dit advies
– De ontwikkeling en inzet van OSS kent voordelen maar ook risico’s en aandachtspunten. Een veilige inzet van OSS vraagt daarmee om een gedegen risico afweging en inzet van risicobeheersmaatregelen.
– In de praktijk blijkt dat het open, transparante karakter van OSS niet maakt dat het ook vrij is van kwetsbaarheden, in tegenstelling tot wat vaak wordt aangenomen. Het overgrote deel van de OSS (componenten) die in gebruik zijn, bevat meerdere kwetsbaarheden, soms ook ernstige.
– Het open karakter van OSS kan juist ook bepaalde nieuwe risico’s introduceren.
– Veilige OSS vraagt om professionele software ontwikkeling met behulp van moderne, geautomatiseerde ontwikkeltooling zoals een geautomatiseerde CI/CD-straat met daaraan gekoppeld technische voorzieningen voor software composition analysis, application security testing, vulnerability scanning, pentesten en een Software Bills of Materials (SBOM).
– De inzet van OSS kent specifieke continuïteitsrisico’s. Er is namelijk veelal niet één specifieke (professionele) partij verant-woordelijk voor de continuïteit, het beheer en het tijdig patchen van software. Dit beheer gebeurt vaak door een collectief van (vrijwillige) ontwikkelaars. Niet zelden is die groep klein en kwetsbaar. Het vraagt van OSS-gebruikers dat zij de ontwikkeling, professionaliteit en robuustheid van de betreffende OSS-community continu blijven volgen. En op basis hiervan blijven afwegen of zij de betreffende OSS al dan niet willen inzetten.
– Het vaak ontbreken van een aanwijsbare eindverantwoordelijke partij voor de (door) ontwikkeling, beveiliging en het beheer van OSS, compliceert ook de security governance en compliance borging.
– De specifieke security risico’s die gelden bij OSS vragen om een goede, continue risico afweging. De inzetbaarheid zal ondermeer afhangen van de robuustheid en professionaliteit van de betreffende OS-community, hun werkwijze en het inzetscenario voor de betreffende software. Dat kan betekenen dat OSS soms wel, en in andere gevallen niet, toepasbaar is. Om bij deze afweging te helpen staat achterin dit advies een ‘handreiking veilig gebruik open source software’.
De factsheet kan op deze pagina van het NCSC gedownload worden.