Zo betrouwbaar als open source

Door: Gerard Zuidweg 20-12-2021

Categorieën
:
Beheer, BLOG, DBMS, Open Source, Review, Tips,

De populariteit en toepassing van open-source-software en -databases neemt steeds verder toe. Zelfs de overheid is overstag. Toch bestaan er nog altijd zorgen over de betrouwbaarheid van open-source-oplossingen. Hoe betrouwbaar is een product wat in alle openheid wordt ontwikkeld? Kunnen kwade zielen daar niet zomaar mee aan de haal? Of maakt transparantie juist veiliger?

Op je vingers kijken

‘Als er op je vingers wordt gekeken, ontstaat betere code’, schreef één van de ontwikkelaars in de PostgreSQL-community onlangs. Dat is meteen waar de kracht van open-source-oplossingen zit. Door het samen ontwikkelen, maar ook het feit dat allerlei mensen meekijken en er ‘iets van kunnen vinden’, worden ontwikkelaars als het ware gedwongen kwalitatief betere code te schrijven die helder en robuust is en voldoet aan standaarden. Zo is bijvoorbeeld PostgreSQL een heel robuust open-source-databasesysteem geworden, vooral dankzij de grote community eromheen die constant meekijkt met alles wat er gebeurt.

CoronaCheck-app

Eén van de meest publiek zichtbare open-source-projecten in Nederland van de laatste tijd is de CoronaCheck-app. De ambitie om transparanter te zijn, heeft de overheid doen besluiten voor PostgreSQL te kiezen. Alle code, testen, documentatie, alles rondom de ontwikkeling van de app is op Github gepubliceerd. Natuurlijk is dat soms ook heel spannend. Zo vertelde één van de ontwikkelaars die betrokken was bij dit project onlangs tijdens een meetup van de PostgreSQL Usergroup NL. Doordat alles in volledige openheid werd ontwikkeld keek ook media mee en die publiceren soms al over betaversies met allerlei bugs en onafgewerkte looks. Dat kan de publieke opinie enorm beïnvloeden, maar ook dat maakt dat de ontwikkelaars extra scherp zijn op kwaliteit.

Niet nieuw

De gedachte om in volledige transparantie te bouwen en ontwikkelen is niet nieuw. De FBI bijvoorbeeld gebruikt alleen open-source-oplossingen. Zij gaan uit van het idee dat wat ze niet kunnen zien, mogelijk niet te vertrouwen is. Die transparantie is precies wat ontbreekt bij gelicentieerde software. Toch zijn er nog steeds mensen die beweren dat het beter is om volgens het closed-source-principe te werken en om met geheimhoudingsbedingen de ontwikkeling binnenskamers te houden. Met contracten en aansprakelijkheidsclasules kun je als opdrachtgever natuurlijk bepaalde dingen afdekken, maar aan aansprakelijkheden heb je verdraaid weinig als het kwaad al is geschied. Andersom, als een organisatie penetratietesten of andere veiligheidstesten gaat uitvoeren op jouw open-source-oplossing, dan weet je zeker dat er kwaliteit wordt geleverd, omdat alles wat er gebeurt direct zichtbaar is. Ook als iemand iets heeft gemist. De kern? Het aloude principe van sociale controle. Je kunt je niet meer verstoppen en alles ligt open en zichtbaar op tafel. Dat dwingt kwaliteit af. Ook het gevoel dat het ‘met elkaar’ wordt gedaan en iedereen een bijdrage kan en mag leveren, draagt bij aan het uiteindelijke resultaat. Kwetsbaarheden en fouten worden heel snel gezien en direct opgepakt door de community.

Gevaar

Toch schuilt er wel een gevaar in deze gedachte. Als je er van uit gaat dat iedereen meekijkt en dat iemand ergens wel zal ontdekken dat er een potentiele dreiging of zwakte in je database zit verstopt, kun je ook lui worden. Kwaliteit zit dus niet enkel in de code, maar ook in de processen. Hoe bouw je je testen op, wat kun je testen en wanneer test je wat? Je wil immers dat niet alleen de broncode transparant is, maar ook je ontwikkelproces, je testproces en de resultaten daarvan. Als je kiest voor open-source, moet je wel de nodige kennis in huis hebben of je op z’n minst goed laten adviseren.

Open-source is de weg die we opgaan

‘Open-source is de weg die we opgaan’, dat zei staatsecretaris Knops onlangs. De transitie naar open-source is onderdeel van de Wet digitale overheid. Ook de overheid is er inmiddels van doordrongen dat openheid en transparantie de kwaliteit van digitale oplossingen ten goede komt. De transitie naar open-source zal ook organisatieveranderingen van leveranciers vragen, ‘waaronder ook de ondersteuning van communities die de open source software en databases ontwikkelen, onderhouden, doorontwikkelen en die in geval van acute problemen met de software incidentgericht en snel kunnen handelen’, aldus Knops.

Twijfel je nog?

Sta jij in of met je organisatie aan de vooravond van een databasemigratie of nieuw te bouwen dataplatform? Wil je weten of een open-source database voor jouw organisatie het overwegen waard is? Of zou je weleens advies willen over de veiligheid van je huidige databaseomgeving? Neem gerust eens vrijblijvend contact met ons ons, we helpen je graag.

Andere relevante blogs over dit onderwerp:

Bescherm je tegen cybercrime met een goede backup-strategie

Surfen op de open source golven

Baas in eigen database

Open source DBMS kies gerust maar kies bewust

Gaat open sourcre aan zijn eigen succes ten onder?

Terug naar blogoverzicht