1. Staat de beveiligingsfilosofie u aan?
Op het eerste gehoor klinkt het misschien vreemd, maar de gehanteerde beveiligingsfilosofie is voor veel open source-gebruikers van groot belang.
Open source-programmatuur is, zoals de naam al zegt, openbaar: de progammeercode kan door iedereen worden ingezien. Niet verbazingwekkend dus dat veel open source-programmeurs er qua beveiliging verwante ideeën op nahouden.
Vaak is open source-software beveiligd volgens het ‘full disclosure’-beveiligingsprincipe. Dit wil zoveel zeggen als: ‘Elke kwetsbaarheid in software wordt openbaar gemaakt.’ De theorie achter deze methode is dat het makers van software dwingt om snel met een oplossing voor beveiligingsproblemen te komen. Een variant op full disclosure is responsible disclosure, waarbij de makers van een softwareproduct wat tijd krijgen om het probleem te verhelpen alvorens het publiek wordt gemaakt.
In open source-kringen wordt in meerderheid nogal negatief gekeken naar ‘security by obscurity’: het geheimhouden van informatie over kwetsbaarheden in software. Dit maakt het immers mogelijk dat softwarefabrikanten veiligheidslekken in hun producten niet of niet tijdig repareren. Klanten hebben immers toch geen weet van de manco’s van hun product. Dit maakt u kwetsbaar voor criminelen die wél goed op de hoogte zijn.
Echter, de consequentie van zowel ‘full’ als ‘responsible disclosure’ is dat het van groot belang is om uw open source-producten bij de tijd te houden met de laatste softwareupdates. Dit geldt natuurlijk ook voor programma’s die volgens ‘security by obscurity’-principes worden bijgehouden, maar hierbij kunt u erop gokken dat criminelen nog geen weet hebben van eventuele kwetsbaarheden. Al is dat laatste natuurlijk ook schijnzekerheid.
2. Bestaat de software die u zoekt?
Er is een enorm aanbod aan open source-software. Twee sites die bruikbaar zijn om uw zoektocht te beginnen, zijn respectievelijk Sourceforge en Google Code. Ook nuttig is de site Freshmeat, waarop veel open source-nieuws wordt gebracht.
De kans bestaat echter dat u in deze enorm uitgebreide websites niet kunt vinden wat u zoekt, terwijl het wel bestaat. In dat geval doet u er goed aan een specialist in te huren die kennis heeft van het brede open source-terrein.
Geen of weinig geld? Begin dan uw zoektocht bij een van de vele vrijwilligersorganisaties rondom open source. Zo is er Holland Open en de Vereniging NLUUG.
3. Deugt de kwaliteit?
Er zijn goede en slechte auto’s te koop: zo is er ook kwalitatief beroerde tot excellente open source-software te krijgen. Maar hoe komt u daarachter?
Vanzelfsprekend is Google uw vriend. Door simpelweg te zoeken op de naam van het door u gevonden programma in combinatie met positieve woorden als ‘excellent’ en negatieve termen als ‘problems’, kunt u ervaringen van derden in kaart brengen. Specifiek Nederlandse meningen kunt u ondermeer vinden via de forumzoekmachine Forumgrazer.
4. Is de software levensvatbaar?
Het onderhoud van open source-software is een belangrijk punt. U heeft weinig aan software die niet meer wordt bijgehouden. Dergelijke software wordt opeens kwetsbaar als een digitale crimineel een veiligheidsgat ontdekt, maar geen enkele programmeur nog langer zin heeft om dit gat te dichten.
Oftewel: dat in principe iedereen mag meewerken aan de meeste open source-projecten, betekent immers nog niet dat dit ook gebeurt. Daarom doet u er goed aan om te controleren of de software die u wilt gaan gebruiken, ook een actieve ontwikkelgemeenschap heeft.
Een van de manieren om dit te doen is via de CIA. Daarmee wordt in dit geval niet de bekende Amerikaanse inlichtingendienst bedoeld, maar de website CIA.vc die bijhoudt hoe vaak er zogeheten ‘updates’ verschijnen voor bepaalde open source-programma’s. Verschijnen er weinig of geen updates voor het programma dat u in gebruik wilt nemen, dan kunt u uw conclusies trekken.
Maar pas op! Een open source-pakket waarvan u onder vraag 3 heeft ontdekt dat het populair is, kan toch kwetsbaar zijn ook al wordt het regelmatig bijgewerkt. Neem het populaire WordPress, dat wordt gebruikt om websites te bouwen. WordPress kent een zeer actieve ontwikkelgemeenschap, maar is vanwege de vele gebruikers ook een populair doelwit van digitale criminelen. Immers, hoe geliefder de software, hoe groter de potentiële ‘doelgroep’ voor criminelen die slachtoffers willen maken.
Daarom is het antwoord op de volgende vraag minstens zo belangrijk.
5. Bent u zelf bij machte de software te onderhouden?
Zoals uit het voorgaande al is gebleken, moet open source-software net als alle andere software actueel worden gehouden. Hoe populairder de software, hoe urgenter die noodzaak is. Gebruikt u in uw bedrijf bijvoorbeeld WordPress, dan bent u kwetsbaar als u deze software niet van de laatste updates voorziet.
Hebt u de kennis of de tijd om uw software bij te werken, niet in huis, spreek dan met uw ICT-leverancier af dat hij het onderhoud van uw software voor zijn rekening neemt. Daarop bezuinigen is vragen om problemen. Maak in ruil voor een betaalde dienst wel goede afspraken over aansprakelijkheid als het toch fout gaat.