- Door
- Jeroen Mulder
- geplaatst op
- 9 mei 2014 10:00 uur
Open source is effectief voor de IT-professional, gevaarlijk voor de eindgebruiker en ideaal voor de dienstverlener.” De uitspraak is van Jan Baan en dateert van juli 2009. Destijds was Baan CEO van Cordys, het bedrijf dat hij in 2013 verkocht aan OpenText. De uitspraak die hij toen deed, is actueler dan ooit. Want: “De programmeerfout die aan Heartbleed ten grondslag ligt, was binnen open source onvermijdelijk.”
Het verhaal over Heartbleed begint bij Robin Seggelman, een Duitse programmeur uit Münster die al snel na het uitbreken van het lek in OpenSSL aan de internetschandpaal werd genageld. Uiteindelijk kreeg de Sydney Morning Herald de programmeur te pakken om hem op de man af te vragen hoe de fout in de code terecht was gekomen. Seggelman had aan OpenSSL zitten werken om nieuwe ‘features’ toe te voegen. En, ironisch genoeg, om bestaande fouten uit de code te halen. Bij het valideren van de code, zag hij één variabele over het hoofd. Zo simpel was het.
De nieuwe code werd gereviewed door ene Stephen Henson. Maar ook hij herkende de fout niet. Zo werd de code als onderdeel van een nieuwe release uiteindelijk gepubliceerd. In het gesprek met de Sydney Morning Herald noemt Seggelman de fout ‘triviaal’, maar erkent dat de impact “behoorlijk ernstig” is geweest. En dat is mild uitgedrukt. Want inmiddels duiken de verhalen op over het algehele principe van opensource-projecten. Zijn dergelijke projecten niet ontzettend gevaarlijk?
De website tomsitpro.com stelde de vragen openlijk: hoe risicovol is open source en moeten we open source nog wel blijven gebruiken zoals we dat nu doen? Achterliggende gedachte bij deze vragen is de opkomst en ongebreidelde groei van het Internet of Things. Je moet er tenslotte niet aan denken dat er dan dergelijke fouten in software terechtkomen, waarbij normale huis-tuin-en-keukenapparaten met elkaar via het internet in verbinding staan. De ramp is dan niet te overzien. Juist voor de verdere implementatie van het Internet of Things moet security het baken zijn voor de eindgebruiker: hij moet blind op software in de apparaten kunnen vertrouwen. Kan dat met open source?
Open source is van iedereen. Dat is de kracht van open source. Het is de stimulans voor innovatie. Jan Baan, bijna vijf jaar geleden: “De innovatieve kracht en snelheid van open source is een geweldig instrument voor it-professionals. Open source maakt hen effectiever.” Maar even verderop: “Uit eigen ervaring durf ik te stellen dat opensource-software die rechtstreeks door de eindgebruiker wordt geïmplementeerd uiteindelijk duurder is, moeilijker is uit te rollen en te beheren (deployable) en vaak ook veel minder veilig is. Vergelijk het met de pc van een tijdje terug. Mensen die er verstand van hadden, stelden hun eigen pc samen op basis van goedkope onderdelen. De gemiddelde gebruiker waagde zich daar niet aan. En tegenwoordig is de pc commodity geworden zodat vrijwel niemand meer zelf zijn computer bouwt. En wie denkt er aan om zijn eigen mobiele telefoon samen te stellen uit los verkrijgbare onderdelen?”
Inmiddels hebben we de modulaire telefoon van Google, maar dat kon Baan niet vermoeden. Hij had een punt. Ontegenzeggelijk. Heartbleed toont aan dat hij (deels) gelijk had. Open source is niet zonder risico. Erkent ook de gehele opensource-gemeenschap. Open source leidt aan het gebrek aan ‘diepe zakken’, stelt tomsitpro.com. Open source is allang geen nerdy hobby meer van een paar Microsoft-haters, maar een volwassen IT-stack waar toegewijde programmeurs hun vrije uren in stoppen. Om de software naar een hoger plan te tillen, is geld nodig. Geld voor bijvoorbeeld testen. “Heartbleed moet geen negatieve invloed krijgen op opensource-projecten, maar het is absoluut een wake-upcall.” Ondersteund door de oproep op heartbleed.com zelf: “De security-gemeenschap, inclusief wijzelf, moet leren hoe we deze onvermijdelijke menselijke fouten sneller kunnen herkennen. Ondersteun de ontwikkeling van veilige software en doneer aan het OpenSSL-project.”