Goede zaak! Mooi gereedschap om de veiligheid van je JBoss-applicatieserver(s) te testen!

Dat open source software, opgekocht door ibm, geëvalueerd moet worden met open source software op fouten....
Er is iets goed mis in de basis dat er geen systemen uit komen die gewoon veilig zijn en goed in elkaar zitten.

Dat heb je met open systemen: men is open over de fouten die er mogelijk in zitten (in alle software zitten fouten); men kan door de openlijk beschikbare broncode grondig onderzoeken wat er mis is en het is, door het inzicht wat dit open karakter geeft, ook vaak eenvoudig om het probleem op te lossen. Dan krijg je inderdaad systemen die gewoon veilig zijn en goed in elkaar zitten. En dat kunnen aantonen met openbare broncode en verificatieinstrumenten. Bij closed source ben je aan de nukken van de leverancier overgeleverd en je hebt geen idee wat er achter de schermen allemaal gebeurt. Mooie praatjes over hun software moet je maar geloven want je kan het op geen enkele manier controleren. Pas als het allemaal in elkaar stort kom je erachter met wat voor troep je te maken hebt (klinkt dat bekend?).

Het is allemaal te complex geworden vaak om goed te kunnen behappen. Hoe moet dat met zo veel pakketten en de onbekendheid hoe ze op elkaar inspelen en hoe door de developer opgeworpen beveilingsmechanismen kunnen worden omgaan (type manipulatie en nog andere methoden, die compromittatie onder bepaalde omstandigheden mogelijk maken).

De beveiliger heeft geen maanden de tijd om e.e.a. uit te vogelen, de aanvaller heeft aan een enkel klein gaatje soms voldoende. Daarnaast speelt natuurlijk "security through obscurity" mee. Vaak een kwestie van "trust" en dat wordt steeds zeldzamer tegenwoordig, zowel online als offline.

Ik kan er alleen maar over spreken vanuit mijn eigen niche (website beveiliging) en waar lopen we dan allemaal tegenop, waar de eigenaars van propriety software geen openheid van zaken over (wensen te) geven en dat toevalligerwijs maar weer eens door een security researcher vaak bij toeval moet worden gevonden. Spreken we niet over opzettelijke cybercrime. Dat staat hier in eerste instantie buiten of is een secondair gevolg vaak.

Tot overmaat van ramp zijn er dan ook nog andere derde partijen die graag onbekende onveiligheid misbruiken en op onbekende gaten blijven zitten. We kennen deze instanties wel genoegelijk sinds Sint Snowden.

Trouwens een dergelijke houding sijpelt door naar de gehele informatie voorziening, Valse beschuldiging van opzettelijk versnellen van video-beelden (het John Acosta incident), waarvan later blijkt dat het technisch aantoonbaar niet gedaan kon zijn door de beschuldigden. Genoeg onwetend publiek heeft echter het fake news als clickbait al geslikt met haak en dobber en een mening heeft zich al postgevat.

We kunnen nu wel gevoegelijk vaststellen dat aan reeds ingeslopen beeldvorming moeilijk nog iets te wijzigen valt. In zo'n geval helpt reputatie-managment al vaak veel minder. Het kwaad is immers al geschied. Een en ander zal bij excessieve server info proliferatie en problemen met server beveiliging ook wel spelen.

luntrus

1/ Open systemen die iedereen kan controleren maar niemand echt controleert.
2/ Gesloten systemen die werkelijk doorlopen worden en gecontroleerd worden door de afnemende partij.
Het eerste leverd de onverwachte fouten oplopende kosten en niet werkende systemen. De belofte iemand anders ...
Het tweede vraagt inhoudelijke kennis van echte specialisten in huis. Je weet zeker dat je zelf verantwoordelijkheid hebt.

Klinkt het bekend waar de schoen wringt en waar het zo vaak te vaak fout gaat.
Inderdaad zo maar wat open source neerzetten omdat iedereen het doet levert de grootste troep op.