‘Met open source organiseer je peer review’

Komt open source de veiligheid ten goede? Het idee van open source is dat de broncode van bijvoorbeeld een website openbaar is. Slechte code kan makkelijker worden aangepast en goede code kan makkelijker worden verspreid. Maar zijn er geen situaties wanneer de code juist closed source moet blijven? iBestuur sprak twee experts.

Intuïtief

Zeker in de hoek van encryptie is men vaak voorstander van open source omdat de kracht ligt in de aantoonbaarheid van veiligheid. Als de broncode openbaar is, is te beredeneren en te demonstreren dat een systeem veilig is. Van closed source software kunnen alleen de oorspronkelijke auteurs de software legaal inspecteren, kopiëren en aanpassen. Maar intuïtief zullen mensen snel zeggen dat veiligheid gebaat is bij geheimhouding. Bovendien is open source software ook beschikbaar voor kwaadwillenden.

Houding

‘Wij geven alles vrij’, zegt directeur Melanie Rieback van Radically Open Security, dat penetratietesten uitvoerde voor onder meer CoronaMelder. Rieback is groot voorstander van open source en ook de penetratietesten die haar bedrijf uitvoerde voor het ministerie van Volksgezondheid, Welzijn en Sport werden gelijk vrijgegeven. ‘Veiligheid is een proces en een houding.’

Daadwerkelijk doen

Het idee om vertrouwen te wekken door openheid is volgens Rieback ‘het juiste idee’. Aansprakelijkheid is niet voldoende, want dan is het kwaad al geschied. ‘Veiligheid is nooit een zekerheid, maar het is natuurlijk beter om zoveel mogelijk zeker te stellen dat je software veilig is, dat updates daadwerkelijk gedaan worden en dat kwetsbaarheden daadwerkelijk worden gedicht.’

Harder lopen

Er kunnen volgens ict-deskundige Brenno de Winter situaties zijn waarin software (nog) niet open source wordt gemaakt, zoals wanneer er enorme haast bij is of als nog niet duidelijk is hoe de toepassing wordt gebruikt en in welke processen. In principe is De Winter wel voorstander van open source voor veiligheid: ‘Je organiseert daarmee ook je peer review. En partijen die jouw software gaan testen op veiligheid, lopen harder. Ze weten dat wanneer ze dingen missen, dit zichtbaar is.’

Teruggeven

Het uitgangspunt van het ministerie van Binnenlandse Zaken is dat ‘software die met publiek geld is ontwikkeld moet zoveel mogelijk aan de samenleving worden teruggegeven… Naast kwaliteitsverbetering kan open source software bijdragen aan minder verspilling, innovatie, meer economische bedrijvigheid, transparantie en informatieveiligheid.’