Open Source software heeft zo zijn voordelen. Zo kun je snel maatwerk-applicaties ontwikkelen door gebruik te maken van door de community ontwikkelde software of frameworks. Daarnaast is OSS vaak gratis te gebruiken en aan te passen, waardoor je investeringen een stuk lager zijn dan bij Closed Source software. Maar Open Source software roept ook vragen op. Want is het wel verstandig om bedrijfskritische applicaties te ontwikkelen met software die door studenten en hobbyisten is gemaakt? Hoe veilig is Open Source software eigenlijk?

Open Source of Closed Source?

Voor we ingaan op de vraag hoe veilig Open Source software is, is het belangrijk het verschil tussen Open Source en Closed Source software te bekijken.

• Bij Closed Source software moet je denken aan pakketten als Microsoft Office of Adobe Photoshop. Je hebt bij deze software geen inzicht in de broncode. De ondersteuning en doorontwikkeling van de software is in handen van de softwareleverancier en zelf kan en mag je geen aanpassingen doen. Maatwerk is daardoor lastig te realiseren en je bent afhankelijk van de softwareleverancier voor de functionaliteit die ontwikkeld wordt. Closed Software werkt over het algemeen op basis van gebruikslicenties en de kosten voor deze licenties kunnen behoorlijk oplopen.
• Bij Open Source software is dat anders: de broncode is gratis en volledig openbaar. Iedereen mag aanpassingen doen aan de software. Je mag de software delen en distribueren, maar niet verkopen. Over het algemeen wordt de software doorontwikkeld door de community, en omdat iedereen wijzigingen mag aanbrengen, kun je als organisatie de software volledig op jouw wensen afstemmen. Hierdoor wordt de software niet alleen binnen de community op de proef gesteld en verbeterd, ook bij iedere toepassing en elk bedrijf waar de software gebruikt wordt. Dit levert een voordeel op vergeleken met Closed Source waar dit alleen binnen de muren van de softwareleverancier gebeurt. Bekende voorbeelden van Open Source software zijn het Spring Framework en het Linux besturingssysteem.

Open Source software en veiligheid

Juist doordat Open Source software door iedereen doorontwikkeld kan worden, roept het de vraag op of het gebruik ervan wel veilig is.
Hoe veilig software is, wordt bepaald door verschillende aspecten. Om de veiligheid te beoordelen, moet je niet alleen kijken naar de veiligheid (security), maar ook naar de kwetsbaarheid (exposure) en de risico’s (risks) van een systeem.
De veiligheid van de software is de combinatie van security (het risico van aanvallen én de schade die zo’n aanval kan aanrichten) en exposure (hoe groot de kans op aanvallen is). Dit geldt voor Open Source software, maar net zo goed voor Closed Source software. In dit opzicht is Open Source software niet onveiliger dan Closed Source Software.

Bugs in Open Source software

Ook op het gebied van bugs doet Open Source niet onder voor Closed Source. Fouten in de broncode komen namelijk in iedere software voor. Het grote verschil is dat bij Open Source de bugs eerder bekend zijn. Dat kan de software kwetsbaarder maken, omdat ook kwaadwillenden eenvoudig op de hoogte zijn van eventuele zwaktes in de software. Maar daar staat tegenover dat bugs door de grote Open Source community sneller opgemerkt en opgelost worden. Iedere ontwikkelaar kan namelijk patches voor bugs uitbrengen.

Continuïteit bij Open Source software

Een Open Source community bestaat vaak uit studenten, vrijwilligers of ontwikkelaars die voor hun carrière nieuwe dingen willen leren. Er is binnen deze community een morele verantwoordelijkheid, maar geen afhankelijkheid van de community. Daarom zie je ook dat dit soort communities soms verlaten worden. Daardoor komt de doorontwikkeling van de Open Source software in gevaar: er komen geen updates meer of kwetsbaarheden worden niet meer door de community gepatcht, om maar een paar voorbeelden te noemen.
Dit kun je als organisatie ondervangen door voor een deel van Open Source software dat een belangrijk deel van jouw systeem vormt, een subscription af te nemen voor ondersteuning. Bekende applicatieframeworks, zoals Spring of Vaadin, werken op deze manier. Maar ook Red Hat, waar wij bij Open Circle Solutions mee werken, biedt verschillende subscriptions. Met deze abonnementen weet je zeker dat de software in de nabije toekomst ondersteund zal worden en blijft door ontwikkelen. Een subscription is geen licentie: de software blijft Open Source en is geen eigendom van Red Hat, VMware of Spring. Deze partijen brengen vaak wel uitbreidingen op de bestaande Open Source software uit. Om van deze uitbreidingen gebruik te kunnen maken, moet je vaak wel een licentie aanschaffen.