"Open source ongeschikt voor vulnerability management"
Qualys, een leverancier van Software-as-a-Service-oplossingen, laat iedereen een gratis exemplaar van "Vulnerability Management For Dummies" downloaden, waarin het stelt dat open source geen geschikt alternatief is. De "For Dummies" series biedt al jaren een introductie tot tal van onderwerpen en heeft nu in samenwerking met de commerciële aanbieder de ins en outs van vulnerability management beschreven, ook wel bekend als het 'in een zo vroeg mogelijk stadium opsporen en herstellen van kwetsbaarheden in de IT-infrastructuur."
Naast de reclame voor Qualys geeft men verschillende tips en best practices. Ook komt het onderwerp open source aan bod, toch zouden er drie redenen zijn waarom het geen oplossing voor vulnerability management is. Ten eerste is de code dubieus. "Open source wordt ontwikkeld door het publiek, je kunt niet van de kwaliteit van de code uitgaan zoals bij een commerciële aanbieder het geval is."
Het tweede punt van kritiek is dat open source software gratis is, maar niet kosteloos. "Open source software heeft dezelfde operationele kosten als commerciële software. Wees bereid om te betalen voor systeembeheer, uitrol, configuratie, beheer, rackspace, de lijst gaat maar door." Als laatste haalt Qualys uit naar de beperkte ondersteuning en trainingsmogelijkheden. "Uw security personeel moet deze tools kunnen beheren en snel reageren op gevonden lekken. Met open source software, is het zeldzaam om training en ondersteuning bij elkaar op een open source internetforum te vinden." (Security4all)
van de kwaliteit van de code uitgaan zoals bij een
commerciële aanbieder het geval is.\" - wat een onzin.
OSS wordt gemaakt door dezelfde mensen die overdag aan
commerciële software werken en/of waarbij het hun hobby is.
OSS van slechte kwaliteit wordt toch meestal geweigerd, en
als het al verschijnt is het snel weer opgelapt door anderen.
Ik wil niet zeggen dat serieuze OSS kwalitatief altijd even
goed is, maar dat geld evenzeer voor commerciële software.
Maar omdat OSS open is kunnen fouten snel worden verholpen,
in tegenstelling tot sommige commerciële bedrijven die nooit
of zelden een verbetering aanbrengen.
Frans
Van Closed source software is zowel de software als het beheer niet gratis.
Zie het probleem niet zo in deze redenering ten favoure van closed sourced
software.
Closed source software is ook geen garantie op goede software. Open source
is gemaakt met behulp van het 'publiek'. Maar niet alle software
aanpassingen
worden standaard opgenomen in een distributie, en niet iedereen voegt code
toe.
Het enige verschil is dat closed sourced software fabrikanten veel geld
verdienen aan de seminars en opleidingen omdat ze het monopolie hebben
op de software en leermiddelen.
Dit is duidelijk een verhaal van iemand die tegen open-source is omdat hij
teveel geld verdient aan de closed source. Software as a service vraagt
immers om een goede helpdesk (Ik heb geen idee of dat ook duur is), maar
een abonnement is voor mij per definitie al duur.
juist beter is, omdat de programmeur weet dat de hele wereld
mee kan kijken. Natuurlijk zijn er genoeg projecten waar de
code een absolute puinhoop is, maar die zijn er bij closed
source misschien nog wel minder.
Daarnaast lijkt er gesuggereerd te worden dat open source
gelijk staat aan alleen support via open fora. Die bieden
zeker hun eigen kwaliteiten, maar je kunt ook 'gewoon'
betaalde support nemen, ongeacht of het product waar het om
gaat open source of propietary is.
Sterker nog, bij open source kun je ook externe expertise
inhuren als het oorspronkelijke bedrijf (ja, ook veel open
source wordt gewoon door professionele programmeurs gemaakt)
vindt dat jouw klandizie niet past bij de directe doelen van
hun aandeelhouders.
ontwikkeld door het publiek, je kunt niet van de kwaliteit
van de code uitgaan zoals bij een commerciële aanbieder het
geval is."
Als eerste, je gaat geen productie draaien met bv de
latest-&-greatest kernel van Linux, er kunnen te veel
problemen inzitten. Ten tweede je ziet bv bij Red Hat dat
men fixes e.d backport naar hun releases, hiermee behoud je
support e.d
Wat de kwaliteit van de code is hangt echt niet af van
commercieel of niet, het heeft meer te maken met de
programmeur. Ik heb in het verleden wel eens code gezien die
door een 'professional' was geschreven... toen ik er mee aan
de slag ging was het hopeloos traag en vol bugs, vervolgens
heb ik in mijn eigen tijd de meuk herschreven en toen werd
deze opeens 600 keer zo snel...
Kortom... dit gehele verhaal... nog kraak-nog smaak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.