Hoe staat het met Open Source en Veiligheid?
Hier en daar lees je nog, dat Closed Source software veiliger zou zijn dan Open Source. Dat is eerder verkooppraat dan realiteit. Kort door de bocht kan je zeggen, dat de kwaliteit en daarmee ook de veiligheid van Open Source kan worden gecontroleerd en die van Closed Source niet.
Uitgelegd zit het zo ....
Security is een kwestie van kwaliteit. Alleen de kwaliteit van het programmeerwerk van de software en de omgeving waarin de software vervolgens 'draait' bepalen de kwaliteit van een product. Security-issues zijn o.a. andere een gevolg van die kwaliteit. Samen met specifieke afspraken tussen klant en leverancier en de Algemene Voorwaarden.
De veiligheid heeft op zichzelf dus niets te maken met Closed Soure of Open Source.
Wat wel zeker is: bij Open Source kan iedereen zelf constateren, dat een product alle veiligheidsissues heeft getackeld. Als dat niet het geval is, wordt het ontwikkelteam daarvan al snel op de hoogte gebracht. We hebben dit zelf aan den lijve ondervonden, nadat we Covide in 2004 Open Source maakten. De stap van Closed naar Open Source heeft van Covide ontegenzeggenlijk een beter en veiliger product gemaakt. Wanneer de veiligheidsissues niet worden aangepakt, wordt hierover al snel op het internet gecommuniceerd en is een project ten dode opgeschreven.
In het algemeen kan de conclusie zijn, dat Open Source projecten er alle baat bij hebben om de binnen het project ontwikkelde code dus in verband met het imago van het project zo goed en veilig mogelijk te programmeren.
Bij Closed Source zijn veiligheidsissues een beter bewaard geheim. Ontwikkelaars van Closed Source hebben er dus vooral baat bij ervoor te zorgen, dat eventuele veiligheidsissues geheim blijven. Er zijn vele gevallen bekend, waarbij de leverancier van Closed Source in zijn geheime broncode meer leverde dan alleen wat de klant wenste. Meer in de zin van bijvoorbeeld een stukje software, dat informatie aan de leverancier stuurt op de achtergrond en zonder dat de gebruiker daarvan weet of er toestemming voor heeft gegeven. Er zijn ook vele gevallen bekend, waarbij in de door de gebruiker op zijn eigen systeem geïnstalleerde closed source software bij het installeren een zogenaamde achterdeur werd geïnstalleerd, waardoor de leverancier of door hem daartoe in staat gestelden derden toegang krijgen tot het systeem van de nietsvermoedende gebruiker.
zie ook: Bestanden / Bestandsbeheer, Blacklist, Faq, Opensource, Samenwerken, Security / Veiligheid, Service / Support, SLA, Systeembeheer
