Open Source veiliger dan Closed Source?

De discussie rond Open Source laat mij niet los. Als architect word ik met enige regelmaat geconfronteerd met de vraag / wens / eis tot de inzet van Open Source producten. Dit kan zijn vanuit een persoonlijke overtuiging dan wel de meer dwingende eis vanuit de overheid. Parallel hieraan vraag ik mijzelf af wat dit betekent voor het onderwerp informatiebeveiliging. Met andere woorden is Open Source veiliger dan Closed Source?

Eens las ik dat als voordeel werd aangedragen het feit dat bij Open Source producten vele beveiligingsspecialisten ‘meekijken’ en verbeteringen aandragen terwijl bij Closed Source producten de betreffende organisatie deze specialisten zelf moet inhuren.

Zelf draag ik aan dat informatiebeveiliging enkel een bijzonder kwaliteitsaspect is. Bij Closed Source projecten zal de opdrachtgever altijd aangeven welk niveau van veiligheid wenselijk is. Geld speelt hierin een alles bepalende rol. Een hogere mate van veiligheid kost letterlijk meer geld en hierop zal altijd bezuinigd worden. Een goed voorbeeld hiervan is het Paladium programma van Microsoft ruim 10 jaar geleden. Gedreven door vele kwetsbaarheden en de publieke opinie startte Bill Gates dit programma met als doel om alle producten van Microsoft een hogere mate van veiligheid te geven. Hieruit mogen we concluderen dat het daarvoor dus nog niet het gewenste niveau had en dus niet die aandacht kreeg. Een dergelijk voorbeeld bestaat in mijn ogen niet binnen de Open Source wereld, immers veiligheid is een kwaliteitskenmerk die net zoveel aandacht krijgt als elk ander aspect.

Dit suggereert dat Open Source producten per definitie veiliger zijn dan Closed Source producten. Maar is dit ook zo? Als ik kijk naar het aantal gepubliceerde kwetsbaarheden van Firefox (Open Source) ten opzichte van Microsoft Internet Explorer (Closed Source) zie ik geen noemenswaardige verschillen.

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in IT Overall, New Technology, Security en getagged met , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s