EFF: 'Niets mis met reviewen van broncode door buitenlandse overheden'

code-1839406_960_720-pixabay-pexels

Het reviewen van de broncode van software is nodig om zeker te stellen dat deze software veilig en van goede kwaliteit is. Het is dan ook niet slecht dat bedrijven buitenlandse overheden toegang geven tot de broncode van hun software. Dit stelt Electronic Frontier Foundation (EFF), een Amerikaanse stichting die digitale burgerrechten verdedigt. EFF geeft aan zelf ook de broncode van software die het gebruikt te onderzoeken.

De EFF reageert hiermee op een recent artikel gepubliceerd door persbureau Reuters. In dit artikel wijst Reuters erop dat softwarebedrijven als McAfee, SAP en Symantec de Russische overheid toestemming geven de broncode van hun software te onderzoeken. Deze werkwijze zou in potentie de veiligheid van computernetwerken van Amerikaanse overheidsinstanties in gevaar kunnen brengen.

'Reviews van broncode zijn noodzakelijk'

De stichting stelt dat in het artikel het beeld wordt geschetst dat het indienen van een verzoek voor het onderzoeken van broncode malafide gedrag is. Dit is volgens de digitale burgerrechtenorganisatie echter niet het geval. De stichting stelt juist dat het reviewen van broncodes noodzakelijk is om zeker te stellen dat software die geïnstalleerd wordt ook daadwerkelijk veilig is. EFF benadrukt hiermee niet het gevaar van buitenlandse dreigingen voor de digitale veiligheid van de Verenigde Staten (VS) te willen bagatelliseren, maar juist het gebruik van open source en het beoordelen van broncode als veiligheidsmaatregelen te willen promoten. EFF is dan ook een groot voorstander van het gebruik en de verspreiding van gratis open source software.

De digitale burgerrechtenorganisatie wijst op verschillende wetten die wereldwijd worden geïntroduceerd die de mogelijkheid broncode van software te onderzoeken aan banden legt. Zo wijst EFF op de Comprehensive and Progressive Trans-Pacific Partnership, een handelsovereenkomst tussen Australië, Brunei, Canada, Chili, Japan, Maleisië, Mexico, Nieuw-Zeerland, Peru, Singapore en Vietnam. Een ander voorbeeld is de gemoderniseerde versie van de North American Free Trade Agreement en enkele bilaterale handelsovereenkomsten in Europa. EFF uitte eerder al zijn zorgen over het aan banden leggen van het reviewen van broncodes en stelt dat het hierdoor moeilijker wordt de veiligheid en kwaliteit van onder andere VPN-software, beveiligde chatapplicaties en apparaten als routers en IP-camera's te controleren.

"De impliciete veronderstelling dat 'geheimhouding van onze code ons veiliger maakt' is extreem gevaarlijk. Beveiligingsonderzoekers en -experts hebben keer op keer expliciet aangegeven dat het uitsluitend vertrouwen op security via obscuriteit simpelweg niet werkt. Sterker nog: het geeft technici een vals gevoel van veiligheid en kan slechts security practices aanmoedigen", stelt de EFF in een blogpost. "Zelfs in tijden van politieke spanning en onzekerheid moeten we ons verstand blijven gebruiken. Het toestaan van code reviews staat niet haaks op nationale veiligheid - sterker nog: we hebben hiervan juist meer nodig."

Lees ook
Proofpoint's 2024 Data Loss Landscape Report: onzorgvuldige werknemers zijn de grootste oorzaak van dataverlies bij bedrijven

Proofpoint's 2024 Data Loss Landscape Report: onzorgvuldige werknemers zijn de grootste oorzaak van dataverlies bij bedrijven

Proofpoint, Inc. publiceert vandaag het eerste Data Loss Landscape-rapport. Hierin staan resultaten naar aanleiding van onderzoek over hoe huidige Data Loss Prevention (DLP)-aanpakken en dreigingen van binnenuit zich verhouden tot huidige macro-uitdagingen zoals de proliferatie van data, geavanceerde dreigingsactoren en generatieve kunstmatige int1

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

De huidige innovatiekracht in Nederland en Europa op het gebied van cybersecurity blijft achter, ten opzichte van de Verenigde Staten en China. Dat blijkt uit het deze week verschenen boek ‘Security Innovation Stories’, geschreven door Bram de Bruijn in samenwerking met Frank van Summeren.

Zerto: Afsluiten van cyberverzekeringen lastiger vanwege toenemende complexiteit en regelmaat van aanvallen

Zerto: Afsluiten van cyberverzekeringen lastiger vanwege toenemende complexiteit en regelmaat van aanvallen

Zerto, een dochteronderneming van Hewlett Packard Enterprise, ziet voor 2024 drie belangrijke trends rond cybersecurity en het dreigingslandschap. De eerste is dat de toenemende complexiteit en regelmaat van cyberaanvallen het steeds moeilijker zullen maken voor bedrijven om een goede cyberverzekering af te sluiten. De tweede trend die Zerto opmer1