EFF: 'Niets mis met reviewen van broncode door buitenlandse overheden'

Het reviewen van de broncode van software is nodig om zeker te stellen dat deze software veilig en van goede kwaliteit is. Het is dan ook niet slecht dat bedrijven buitenlandse overheden toegang geven tot de broncode van hun software. Dit stelt Electronic Frontier Foundation (EFF), een Amerikaanse stichting die digitale burgerrechten verdedigt. EFF geeft aan zelf ook de broncode van software die het gebruikt te onderzoeken.

De EFF reageert hiermee op een recent artikel gepubliceerd door persbureau Reuters. In dit artikel wijst Reuters erop dat softwarebedrijven als McAfee, SAP en Symantec de Russische overheid toestemming geven de broncode van hun software te onderzoeken. Deze werkwijze zou in potentie de veiligheid van computernetwerken van Amerikaanse overheidsinstanties in gevaar kunnen brengen.

'Reviews van broncode zijn noodzakelijk'

De stichting stelt dat in het artikel het beeld wordt geschetst dat het indienen van een verzoek voor het onderzoeken van broncode malafide gedrag is. Dit is volgens de digitale burgerrechtenorganisatie echter niet het geval. De stichting stelt juist dat het reviewen van broncodes noodzakelijk is om zeker te stellen dat software die geïnstalleerd wordt ook daadwerkelijk veilig is. EFF benadrukt hiermee niet het gevaar van buitenlandse dreigingen voor de digitale veiligheid van de Verenigde Staten (VS) te willen bagatelliseren, maar juist het gebruik van open source en het beoordelen van broncode als veiligheidsmaatregelen te willen promoten. EFF is dan ook een groot voorstander van het gebruik en de verspreiding van gratis open source software.

De digitale burgerrechtenorganisatie wijst op verschillende wetten die wereldwijd worden geïntroduceerd die de mogelijkheid broncode van software te onderzoeken aan banden legt. Zo wijst EFF op de Comprehensive and Progressive Trans-Pacific Partnership, een handelsovereenkomst tussen Australië, Brunei, Canada, Chili, Japan, Maleisië, Mexico, Nieuw-Zeerland, Peru, Singapore en Vietnam. Een ander voorbeeld is de gemoderniseerde versie van de North American Free Trade Agreement en enkele bilaterale handelsovereenkomsten in Europa. EFF uitte eerder al zijn zorgen over het aan banden leggen van het reviewen van broncodes en stelt dat het hierdoor moeilijker wordt de veiligheid en kwaliteit van onder andere VPN-software, beveiligde chatapplicaties en apparaten als routers en IP-camera's te controleren.

"De impliciete veronderstelling dat 'geheimhouding van onze code ons veiliger maakt' is extreem gevaarlijk. Beveiligingsonderzoekers en -experts hebben keer op keer expliciet aangegeven dat het uitsluitend vertrouwen op security via obscuriteit simpelweg niet werkt. Sterker nog: het geeft technici een vals gevoel van veiligheid en kan slechts security practices aanmoedigen", stelt de EFF in een blogpost. "Zelfs in tijden van politieke spanning en onzekerheid moeten we ons verstand blijven gebruiken. Het toestaan van code reviews staat niet haaks op nationale veiligheid - sterker nog: we hebben hiervan juist meer nodig."