Is open source software veilig?

De broncode van software zou nooit een veiligheidsprobleem moeten zijn. Je kan het vergelijken met een slot. Je weet hoe die werkt. Door de pinnetjes naar beneden te drukken wordt de blokkering ongedaan gemaakt, kan het slot draaien en kan je de deur openen. Maar toch kan jij niet elk huis in. Dat komt doordat je de broncode wel hebt, maar niet de daadwerkelijk installatie. De fabriek maakt met de broncode het slot, maar voegt steeds de unieke vorm van de sleutel.

Als broncode altijd geheim moet blijven dan zou open source software niet kunnen bestaan. Ik werk veel Laravel en op deze regel staat hoe het wachtwoord van de database door de applicatie uit de configuratie wordt gelezen. Maar dit is niet voldoende informatie om subsidieportaal te hacken. Dit is de broncode, maar de daadwerkelijke configuratie staat op de server. En die server is wat in het artikel infrastructuur wordt genoemd. Daar mag nooit en te nimmer iemand bij.

En als je wilt controleren of Signal daadwerkelijk zo veilig is als wordt beweerd: controleer het zelf zou ik zeggen: https://github.com/signalapp. Dan moet je de Signal-iOS repository hebben, want je hebt een iPhone.

Dit kan jij natuurlijk niet beoordelen, maar voor ethische hackers maakt dit het een stuk makkelijker om problemen te vinden. En de overheid meldt netjes waar je die problemen kan melden: https://www.rijksoverheid.nl/security.txt Voor alle hackers gaat dat natuurlijk op, maar dat maakt voor de veiligheid niet uit. Zowel openbare als gesloten broncode kan lekken bevatten. Het is alleen lastiger te vinden als je de broncode niet hebt. Dat maakt het alleen niet veiliger. De term hiervoor is security through obscurity. Veligheid creeren door mist of een dolholf, maar dat is schijnveiligheid. Je huis is niet veiliger als je een extra heg voor de deur zet. Het kost alleen iets meer moeite om erin te komen.