Eerder dit jaar realiseerde een Microsoft-ontwikkelaar zich dat iemand dat had gedaan een achterdeur geplaatst in de code van het open source-hulpprogramma XZ Utils, dat in vrijwel alle Linux-besturingssystemen wordt gebruikt.
De operatie was twee jaar eerder begonnen toen iemand, een persoon met de bijnaam JiaT75, begon bij te dragen aan de XZ Utils-repository op GitHub. Een cybersecurity-expert noemde deze aanval een ‘nachtmerriescenario’ en ‘de best uitgevoerde supply chain-aanval die we ooit hebben gezien’.
De aanval volgde op andere bekende cyberbeveiligingsincidenten waarbij open source-software betrokken was Hartbloeding, ShellshockEn Log4jwas opnieuw een duidelijke herinnering dat open source-software, gezien de wijdverbreidheid ervan, aanzienlijke veiligheidsrisico's kan opleveren.
Bij TechCrunch verstoort 2024Bogomil Balkansky, partner bij Sequoia Capital; Aeva Black, sectiehoofd voor open source-beveiliging bij de Amerikaanse Cybersecurity and Infrastructure Security Agency; en Luis Villa, de mede-oprichter van Tidelift, gingen zitten om de uitdagingen van het beveiligen van open source software te bespreken.
“Ik zeg graag dat open source niet zo gratis is als pizza. Het is gratis als een puppy. Als je het mee naar huis neemt en het niet te eten geeft, eet het je meubels en je schoenen op”, zei Black.
Balkansky noemde open source-software het ‘levensbloed van software’, waardoor het ‘fundamenteel is en in alles is ingebakken’. Het probleem, zo voegde Balkansky eraan toe, is dat “het bedrijfsmodel voor open source nog steeds volop in ontwikkeling is.”
Dus wie moet ervoor zorgen en betalen om het veilig te stellen?
Villa en zijn team bij Tidelift stellen een model voor waarbij het bedrijf open source-beheerders betaalt om voor hun code te zorgen en partners om kwetsbaarheden op te lossen.
CISA, legde Black uit, raakt er nu bij betrokkendoor initiatieven te lanceren om bedrijven te vertellen wat de beste zijn – en het ergste — beveiligingspraktijken als het gaat om de inzet van open source-software. “We zijn hier om deel te nemen als lid van de open source-gemeenschap en met hen samen te werken”, zegt Black, die denkt dat open source-software een publiek goed is.
In termen van hoe verder te gaan zei Balkansky dat “de oplossing voor open source-beveiliging, althans tot op zekere hoogte, ook open source moet zijn”, en waarschuwde hij dat “er geen wondermiddelen zijn.”
Villa zei dat er behoefte is aan “meerdere benaderingen” en “diepgaande verdediging”, wat betekent dat er behoefte is aan verschillende beveiligingslagen om het open source-ecosysteem te beschermen.
En Black zei dat softwarebouwers moeten weten welke open source software in hun producten zit. “We hebben een betere betrokkenheid nodig om iedereen in staat te stellen dat te doen met minder inspanning en minder last voor individuele vrijwilligers en non-profitorganisaties”, aldus Black.
