Libxml2-maintainer gaat gemelde kwetsbaarheden meteen openbaar maken
De lead maintainer van libxml2, een library voor het verwerken van xml-documenten, gaat kwetsbaarheden die bij het project worden gemeld meteen openbaar maken, ook als er nog geen oplossing voor is. Beveiligingslekken worden verholpen wanneer maintainers hiervoor de tijd hebben, er zullen geen deadlines meer zijn. "Dit beleid zal sommige downstream-gebruikers zenuwachtig maken, maar het zal ze misschien aanmoedigen om meer bij te dragen", aldus Nick Wellnhofer. Verschillende browsers en besturingssystemen maken gebruik van libxml2.
Wellnhofer stelt dat hij meerdere uren per week bezig is met beveiligingsproblemen die door derde partijen worden gemeld. "De meeste van deze problemen zijn niet kritiek, maar nog steeds wel veel werk. Op de lange termijn is het onhoudbaar voor een onbetaalde vrijwilliger als ik." Als oplossing wil Wellnhofer daarom een nieuw beleid met betrekking tot het openbaar maken. Op dit moment geldt er nog een embargo van kwetsbaarheden waarvoor nog geen patch beschikbaar is.
"Ik doe dit al lang genoeg om te weten dat de meeste geheimzinnigheid rond beveiligingsproblemen juist theater is", aldus Wellnhofer. "Alle "best practices" zoals OpenSSF Scorecards zijn gewoon een poging van bigtechbedrijven om OSS maintainers een schuld gevoel te geven en ze gratis te laten werken." Volgens Wellnhofer is het nadelig om dit soort eisen aan maintainers van opensourceprojecten te stellen, zonder dat ze hiervoor worden gecompenseerd.
"Ongeschikt voor gebruik"
Daarnaast stelt Wellnhofer dat libxml2 nooit de kwaliteit heeft gehad om in mainstream browsers en besturingssystemen gebruikt te worden. "Het begon toen Apple libxml2 een kernonderdeel van al hun besturingssystemen maakte. Toen volgde Google en nu gebruikt zelf Microsoft libxml2 in hun besturingssysteem buiten Edge. Dit had nooit moeten plaatsvinden, merkt de lead maintainer op.Oorspronkelijk was het volgens Wellnhofer een soort van 'growth hack'. "Maar nu maken die bedrijven miljarden winst en weigeren hun technische schuld terug te betalen, door naar betere oplossingen over te stappen, hun eigen oplossing te ontwikkelen of te proberen om libxml2 te verbeteren." Volgens Wellnhofer is het gedrag van deze bedrijven onverantwoord. De lead maintainer voegt toe dat hij beveiligingsproblemen niet langer onder embargo zal houden totdat een oplossing beschikbaar is.
Update
Inmiddels is Wellnhofer ook begonnen om van verschillende kwetsbaarheden de details openbaar te maken. "Removing confidentiality as per our new policy", laat de maintainer onder de openbaar gemaakte kwetsbaarheden weten.Ik zie een groot risico bij het gebruik van dit soort libraries.
This is open-source software written by hobbyists, maintained by a single volunteer, badly tested, written in a memory-unsafe language and full of security bugs. It is foolish to use this software to process untrusted data. As such, we treat security issues like any other bug. Each security report we receive will be made public immediately and won't be prioritized."
Van mij had 'open-source' wel weggelaten kunnen worden. Het probleem is niet direct gerelateerd aan juridische aspecten van een licentie, maar aan eenzijdig winstbejag zonder tegeninvestering in het ecosysteem. Er wordt wel meer software onder de MIT-licentie* gepubliceerd waarvoor genoemde problemen niet gelden.
* https://en.wikipedia.org/wiki/Libxml2
Welkom in de wereld van Amerika.
Nummer 2 is de eerste verliezer, collectieve ziektenkosten verzekeringen is voor loosers en communisten.. iedereen moet aan de democratie, desnoods met bommen, een door de CIA geinstigeerde 'lente'...
Dat die democratie niet eens een democratie is, boeie...
Maar vervolgens moet je wel aan het cola, disney en cisco infuus... of je tegen spuitjes kan of niet..
Of je moet tegen de VS durven zeggen, 'tot hier en niet verder'... maar ik denk niet dat iemand tegen de club van 'do as I say, not as I do' in durft te gaan.
Het hele punt van open source is dat je dat soort dubbel werk voorkomt, en dat het model goed werkt als zelfs maar een bescheiden deel van de gebruikers een maar bescheiden bijdrage levert. Als deze giganten van gebruikers er elk ook maar een handjevol mensuren per week aan zouden besteden zou het voor dat project een enorme boost zijn, zou iedereen een betere library hebben, terwijl voor die enorme reuzen het verschil in inspanning amper waarneembaar zou zijn op alles wat ze doen. En toch doen ze het kennelijk niet, terwijl de enorme schaal waarop juist zij het gebruiken wel een grote druk op de ontwikkelaar oplevert.
Dat is parasitair omgaan met iets moois, en dat mag best hardop worden gezegd. Inclusief dat het open source betreft, want daarop wordt hier geparasiteerd door Apple, Google en Microsoft.
Welkom in de wereld van Amerika.
Nummer 2 is de eerste verliezer, collectieve ziektenkosten verzekeringen is voor loosers en communisten.. iedereen moet aan de democratie, desnoods met bommen, een door de CIA geinstigeerde 'lente'...
Dat die democratie niet eens een democratie is, boeie...
Maar vervolgens moet je wel aan het cola, disney en cisco infuus... of je tegen spuitjes kan of niet..
Of je moet tegen de VS durven zeggen, 'tot hier en niet verder'... maar ik denk niet dat iemand tegen de club van 'do as I say, not as I do' in durft te gaan.
Grote bla bla, maar nul oplossing.
ff kijken : hobby project .
Wordt populair (mooi toch, roepen "we" altijd dat we dat willen ).
Blijkt het opeens toch bugs te hebben - wat alleen maar opvalt omdat het aandacht krijgt vanwege de populariteit.
En dan deugt dat weer niet . Ja joh, het is ook nooit goed.
Vertel eens, hoeveer trek jij je eigen portemonnee open voor open source projecten ?
of sta je alleen maar aan de zijkant te roepen dat open source zo geweldig is, en als het niet geweldig is moet iemand anders het oplossen ?
Mogen een paar van die 'many eyes' waarvoor all bugs shallow zijn zich even melden ? Of gewoon lappen ?
Vertel eens, hoeveer trek jij je eigen portemonnee open voor open source projecten ?
Dat is natuurlijk het hele probleem en dat zie je hier vaak genoeg voorbij komen. Hoevele mensen roepen wel niet dat je maar Open Source moet gebruiken wanneer er bij een Closed Source product een lek gevonden wordt.
Het argument van "iedereen kan de code bekijken en fixen" is alleen op papier zo. Degene die het bekijken doen het om lekken te vinden en te misbruiken en de rest verwacht van de maintainer dat hij (of zij) het oplost zonder zelf ook maar een bijdrage te doen.
Bedrijven die het gebruiken doen dat omdat het gratis is.
Grote bla bla, maar nul oplossing.
ff kijken : hobby project .
Wordt populair (mooi toch, roepen "we" altijd dat we dat willen ).
Blijkt het opeens toch bugs te hebben - wat alleen maar opvalt omdat het aandacht krijgt vanwege de populariteit.
En dan deugt dat weer niet . Ja joh, het is ook nooit goed.
Vertel eens, hoeveer trek jij je eigen portemonnee open voor open source projecten ?
of sta je alleen maar aan de zijkant te roepen dat open source zo geweldig is, en als het niet geweldig is moet iemand anders het oplossen ?
Mogen een paar van die 'many eyes' waarvoor all bugs shallow zijn zich even melden ? Of gewoon lappen ?
Wat een monsterlijk voorbeeld van whataboutism. Ik verdien geen 95 miljard met freeloading op bsd en dit soort ontwikkelaars, waarom zou dat okay zijn als ik niets zou doen? Bovendien ben ik al 20 jaar sponsor van nluug, dus FU.
Grote bla bla, maar nul oplossing.
ff kijken : hobby project .
Wordt populair (mooi toch, roepen "we" altijd dat we dat willen ).
Blijkt het opeens toch bugs te hebben - wat alleen maar opvalt omdat het aandacht krijgt vanwege de populariteit.
En dan deugt dat weer niet . Ja joh, het is ook nooit goed.
Vertel eens, hoeveer trek jij je eigen portemonnee open voor open source projecten ?
of sta je alleen maar aan de zijkant te roepen dat open source zo geweldig is, en als het niet geweldig is moet iemand anders het oplossen ?
Mogen een paar van die 'many eyes' waarvoor all bugs shallow zijn zich even melden ? Of gewoon lappen ?
Wat een monsterlijk voorbeeld van whataboutism. Ik verdien geen 95 miljard met freeloading op bsd en dit soort ontwikkelaars, waarom zou dat okay zijn als ik niets zou doen? Bovendien ben ik al 20 jaar sponsor van nluug, dus FU.
Dan ben je één van de weinigen die een beetje lapt voor het ene of andere OS project.
(ik ook, trouwens.).
Ik zie wel eens hoe ONTZETTEND WEINIG er aan donaties binnenkomt bij 'geek-causes' , en wat een enorm grote bek mensen erover hebben . Of $2.50 doneren en dan EISEN dat hun wishlist feature meteen opgepakt wordt.
Bedrijven die het gebruiken doen dat omdat het gratis is.
Misschien niet eens dat.
Vermoedelijk (vooral) omdat de developers binnen die bedrijven bekend zijn met de code - en het zichzelf makkelijk maken zonder een heel intern circus in te gaan.
Ik _denk_ dat het voor developers best een hoop "intern gedoe" is om het gebruik van commerciele library geregeld te krijgen. Aanvraag, approval, legal, procurement die namens "google" of "apple" even een mega licentie moet onderhandelen .
Als de developer eerst moet beginnen met de formele aanvraag van een trial licentie om zelfs maar te kijken of iets geschik is -
Nogal wat ITers zijn niet sterk in het "interne procesgedoe" , en willen vooral doorgaan met coden.
Dan zal het vrij snel zijn dat de developer kiest voor een library die "bekend/inzichtelijk" is, zelfs als die niet technisch de beste keuze is .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?