‘Lek Ruby on Rails snel dicht door open source’

18-01-2013 11:52 | Door Sander Hulsman | Lees meer artikelen over: Exploits, Patches, DigiD, Ruby (on Rails) | Er zijn 7 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink

Dat het recent gevonden lek in webapplicatieframework Ruby on Rails zo snel gedicht kon worden komt vooral doordat het om open source software gaat. Het dichten van een lek bij proprietary software zou een stuk langzamer zijn gegaan. Dit menen de Computable-experts Maurice Verheesen en Marc Vloemans. Zij roemen de snelheid waarmee het Ruby on Rails-lek gedicht werd, maar zij raden organisaties wel aan verder onder de motorkap te kijken of er van de software gebruik wordt gemaakt.

Bugs in software libraries die misbruikt worden door een exploit zijn theoretisch gezien gevaarlijk voor iedereen die de library gebruikt. Daarbij maakt het niet uit of het gaat om free/libre open source software of om proprietary software. Dat geldt voor alle software libraries.

Stuxnet op Windows-platform

‘Het is goed om te zien dat de bug in Ruby on Rails zo gruwelijk snel opgelost is’, zegt Maurice Verheesen, coördinator Nederland fellowship bij Free Software Foundation Europe. ‘Bij proprietary software zijn gebruikers volkomen afhankelijk van een leverancier. Deze moet dan vriendelijk verzocht worden de bug te fixen. In de praktijk zie je dat dit vaak erg lang duurt. Kijk bijvoorbeeld naar één van de bugs die Stuxnet misbruikt op het Windows-platform. Die was een halfjaar voordat Stuxnet bekend werd al gemeld bij Microsoft. Vervolgens werd vrijwel niets met de melding gedaan.

Verheesen vermoedt dat de bug in Ruby on Rails door de community meteen is opgelost of dat Logius zelf een patch heeft geschreven. ‘Dat laatste was bij proprietary software niet mogelijk, dan wel bijzonder lastig geweest. Als DigiD/Logius deze patch aan de Ruby-community geeft, en de Ruby-community accepteert deze patch, dan kunnen alle programma’s die gebruikmaken van Ruby direct beschermd worden. Dus veel liever kijk ik niet naar wat allemaal Ruby on Rails gebruikt, maar het is veel belangrijker om te kijken of de patch al in de Ruby-community bekend is.’

Kwaliteit en veiligheid

Expert Marc Vloemans, directeur van B3Partners, vraagt zich af of het lek een inschattingsfout betrof ten aanzien van de toepasbaarheid van het webapplicatieframework Ruby on Rails of dat het de specifiek DigiD betrof. ‘In elk geval lijkt mij dit een typisch geval waarin de Ruby on Rails-community kan aantonen dat bij open source software inderdaad sneller veiligheidslekken kunnen worden gedicht. Er ligt immers de claim bij open source dat de kwaliteit en daarmee de veiligheid sneller kan worden gecontroleerd en verbeterd, door openbaarheid van de code.’

Volgens hem is het niet voor niets dat vele veiligheidsgevoelige organisaties zoals Defensie, overheden en banken, gebruikmaken van deze wijdverbreide software. ‘Het lijkt me daarom raadzaam voor deze organisaties om snel ‘onder de motorkap’ te duiken om te kijken of zij van Ruby on Rails gebruikmaken.’
Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Top 10 reagerende bezoekers
      Aantal
reacties
Gemiddelde
waardering
Klik voor meer info 1 1945 6.91
Klik voor meer info 2 1466 6.64
Klik voor meer info 3 1195 6.60
Klik voor meer info 4 866 6.58
Klik voor meer info 5 1131 6.57
Klik voor meer info 6 407 6.31
Klik voor meer info 7 545 6.27
Klik voor meer info 8 452 6.02
Klik voor meer info 9 1062 6.00
Klik voor meer info 10 680 6.00