Het gebruik van open source software kent diverse voordelen, maar ook beveiligingsrisico's, aldus het Nationaal Cyber Security Centrum (NCSC). Zo blijkt in de praktijk dat het open, transparante karakter van open source niet maakt dat het ook vrij is van kwetsbaarheden. "In tegenstelling tot wat vaak wordt aangenomen. Het overgrote deel van de OSS (componenten) die in gebruik zijn, bevat meerde kwetsbaarheden, soms ook ernstige", zo stelt de overheidsinstantie.

Volgens het NCSC kan het open karakter van opensourcesoftware (OSS) juist ook bepaalde nieuwe risico’s introduceren. De overheidsinstantie heeft een nieuwe factsheet gepubliceerd waarin het adviseert over de beveiligingsrisico's van OSS en over de daarbij behorende afwegingen en te nemen beheersmaatregelen. De adviezen moeten zo bijdragen aan een veilige inzet van opensourcesoftware.

Die is namelijk van verschillende specifieke beveiligingsrisico's afhankelijk. "De inzetbaarheid zal onder meer afhangen van de robuustheid en professionaliteit van de betreffende OS-community, hun werkwijze en het inzetscenario voor de betreffende software", staat in het advies. "Dat kan betekenen dat OSS soms wel, en in andere gevallen niet, toepasbaar is."

Ook gaat het NCSC in op de veronderstelling dat opensourcesoftware veiliger zou zijn dan closed source software (CSS) omdat iedereen de broncode kan inspecteren. "Uit (wetenschappelijk) onderzoek blijkt vooralsnog weinig concrete steun voor de hypothese dat OSS (inherent) veiliger is dan CSS. Diverse onderzoeken laten zien dat er in de praktijk weinig verschil zit in het aantal kwetsbaarheden tussen enerzijds OSS en anderzijds CSS. De kwaliteit van de code lijkt vooral te worden bepaald door professionaliteit van het ontwikkelteam en de manier waarop zij code ontwikkelen, los van of dit OSS of CSS is."

Of het inzetten dan wel zelf ontwikkelen van opensourcesoftware voor organisaties een verstandige, veilige keuze is, hangt af van de context en condities waarbinnen dit plaats moet vinden, zo stelt het NCSC. "Dit vraagt steeds om een adequate risicoanalyse en sourcingsafweging, en die kan goed per OSS-oplossing en per inzetscenario verschillen. Die afweging kan ook veranderen gedurende de life cycle van de betreffende OSS, bijvoorbeeld wanneer de werkwijze van de OSS community verandert."