“Open source is de sleutel”, zegt David Harmon, directeur software engineering bij AMD. “Het maakt een omgeving van samenwerking en technische vooruitgang mogelijk. Slimme gebruikers kunnen zelf naar de code kijken; zij kunnen het beoordelen; ze kunnen het bekijken en weten dat de code die ze krijgen legitiem en functioneel is voor wat ze proberen te doen.”
Maar OSS kan ook de beveiligingspositie van een organisatie bedreigen door verborgen kwetsbaarheden te introduceren die onder de radar blijven van drukke IT-teams, vooral nu het aantal cyberaanvallen gericht op open source toeneemt. OSS kan bijvoorbeeld zwakke punten bevatten die kunnen worden uitgebuit om ongeautoriseerde toegang te krijgen tot vertrouwelijke systemen of netwerken. Slechte actoren kunnen zelfs doelbewust exploits in de OSS-ruimte introduceren (‘achterdeurtjes’) die de beveiligingspositie van een organisatie in gevaar kunnen brengen.
“Open source maakt productiviteit en samenwerking mogelijk, maar brengt ook beveiligingsuitdagingen met zich mee”, zegt Vlad Korsunsky, corporate vice-president van cloud en enterprise security bij Microsoft. Een deel van het probleem is dat open source organisatiecode introduceert die moeilijk te verifiëren en moeilijk te traceren is. Organisaties weten vaak niet wie wijzigingen in open source heeft aangebracht of wat de bedoeling van die wijzigingen is; factoren die het aanvalsoppervlak van een bedrijf kunnen vergroten.
Complicerende zaken zijn dat de groeiende populariteit van OSS samenvalt met de opkomst van de cloud en zijn eigen reeks beveiligingsuitdagingen. Cloud-native applicaties die draaien op OSS, zoals Linux, bieden aanzienlijke voordelen, waaronder grotere flexibiliteit, snellere release van nieuwe softwarefuncties, moeiteloos infrastructuurbeheer en verhoogde veerkracht. Maar ze kunnen ook blinde vlekken creëren in de beveiligingshouding van een organisatie, of erger nog, drukke ontwikkelings- en beveiligingsteams belasten met voortdurende dreigingssignalen en eindeloze to-do-lijsten voor beveiligingsverbeteringen.
“Als je naar de cloud overstapt, veranderen veel bedreigingsmodellen volledig”, zegt Harmon. “De prestatieaspecten van dingen zijn nog steeds relevant, maar de veiligheidsaspecten zijn veel relevanter. Geen enkele CTO wil in het nieuws komen vanwege inbreuken.”
Het wordt echter steeds moeilijker om uit het nieuws te blijven: volgens Flexera’s State of the Cloud 2024-onderzoek maakt 89% van de ondernemingen gebruik van multi-cloudomgevingen. Clouduitgaven en beveiliging staan bovenaan de lijst van clouduitdagingen van respondenten. Beveiligingsbedrijf Tenable’s 2024 Cloud Security Outlook meldde dat 95% van de ondervraagde organisaties in de 18 maanden voorafgaand aan hun onderzoek te maken had gehad met een cloudinbreuk.
Beveiliging van cloudcodes
Tot nu toe vertrouwden organisaties op beveiligingstests en -analyses om de applicatie-output te onderzoeken en beveiligingsproblemen te identificeren die moesten worden opgelost. Maar tegenwoordig is er voor het oplossen van een beveiligingsdreiging meer nodig dan alleen kijken hoe deze tijdens runtime is geconfigureerd. In plaats daarvan moeten organisaties de oorzaak van het probleem aanpakken.
Het is een moeilijke evenwichtsoefening voor IT-beveiligingsteams, zegt Korsunsky. “Zelfs als je die codeverbinding met de cloud kunt maken, is het beveiligingsteam mogelijk niet bereid een oplossing te implementeren als ze niet zeker zijn van de potentiële zakelijke impact ervan. Een oplossing zou bijvoorbeeld de beveiliging kunnen verbeteren, maar ook een deel van de functionaliteit van de applicatie zelf kunnen verstoren en de productiviteit van werknemers negatief kunnen beïnvloeden”, zegt hij.