Wat is het huidige standpunt van het DoD en bondgenoten over open-source software?

Het standpunt van het US DoD sinds de CIO-memo van 2009 вЂ” versterkt door de aanbevelingen van de Defense Innovation Board uit 2016 en de DoD Software Modernization Strategy uit 2022 вЂ” is dat OSS moet worden beoordeeld op dezelfde criteria als propriГ«taire software, zonder algemeen verbod of voorkeur. Geallieerde kaders (UK MoD, Duits Bundeswehr onder BSI-begeleiding) weerspiegelen deze permissieve maar beheerste aanpak, zodat internationale programma's zelden OSS-beleidsconflicten tussen partners ondervinden.

Welke OSS-toeleveringsketenrisico's moeten defensieprogramma's beheren?

Vier afzonderlijke categorieГ«n: typosquatting (kwaadaardige pakketten geregistreerd onder namen die dicht bij legitieme namen liggen), kwaadaardige updates (gecompromitteerde beheerders die backdoors pushen, zoals bij het XZ Utils-incident van 2024), verlaten bibliotheken (door vrijwilligers onderhouden projecten die ongepatchteerde kwetsbaarheden ophopen), en licentienaleving (copyleft-licenties zoals GPL/AGPL die conflicteren met geclassificeerde of concurrentiegerichte geheimhoudingsvereisten).

Wat is vereist in een OSS-goedkeuringsproces?

Drie gebieden moeten worden gedekt voordat een nieuwe afhankelijkheid wordt opgenomen: licentiecontrole tegen het distributiemodel en licentieverplichtingen van het programma; kwetsbaarheidsscanning tegen NVD, OSV.dev en de GitHub Advisory Database inclusief transitieve afhankelijkheden; en herkomstbeoordeling van de identiteit van beheerders, beveiligingsoffenbaringprocessen, vrijgave-ondertekening en ontwikkelingspraktijken.

Waarom is kwetsbaarheidsscanning op zichzelf onvoldoende?

Kwetsbaarheidsscanning identificeert alleen bekende kwetsbaarheden вЂ” het biedt geen bescherming tegen onbekende kwetsbaarheden of opzettelijke backdoors zoals de backdoor die in XZ Utils werd ingevoegd gedurende een twee jaar durende geloofwaardigheidscampagne. Herkomstbeoordeling en de bredere toeleveringsketen-beveiligingspositie van het project pakken het risicogebied aan dat kwetsbaarheidsscanning niet kan bereiken.

Hoe ondersteunt SBOM OSS-afhankelijkheidsbeheer op schaal?

Een Software Bill of Materials biedt een machine-leesbare inventaris van alle componenten met versies, licenties en afhankelijkheidsrelaties, wat geautomatiseerde kwetsbaarheids-correlatie mogelijk maakt wanneer een nieuwe CVE wordt gepubliceerd en continue licentienaleving-monitoring over transitieve afhankelijkheden. US Executive Order 14028 (2021) verplicht SBOM voor software die aan federale agentschappen wordt verkocht; CycloneDX- en SPDX-formaten zijn volwassen, en effectieve programma's genereren SBOM's rechtstreeks in de CI/CD-pipeline zodat ze actueel blijven met de geГЇmplementeerde code.

Open-Source Software in Defensie: Beleid, Beveiligingsrisico's en Beste Praktijken

De vraag of open-source software (OSS) geschikt is voor defensiesystemen werd grotendeels beantwoord in de jaren 2000 en 2010: het antwoord is ja, met passend beheer. De beleidsmemo van het US Department of Defense uit 2009 over open-source software was een van de eerste formele verklaringen dat OSS moet worden beoordeeld op dezelfde criteria als propriГ«taire software вЂ” geen algemeen verbod, geen algemene voorkeur, maar geval-per-geval beoordeling. Dit permissieve maar beheerste standpunt is nu effectief universeel onder defensieprocurementskaders in democratische landen.

De huidige uitdaging is niet of OSS gebruikt moet worden, maar hoe het rigoureus te beheren. Moderne defensiesoftware bevat doorgaans honderden open-source componenten вЂ” besturingssysteembibliotheken, cryptografische bibliotheken, netwerkstacks, gegevensverwerkingsframeworks. Het XZ Utils-backdoor-incident van 2024, waarbij een kwaadwillende twee jaar besteedde aan het opbouwen van geloofwaardigheid in een open-source project voordat een geavanceerde backdoor werd ingevoegd, toonde aan dat OSS-toeleveringsketenrisico's niet theoretisch zijn. Dit artikel onderzoekt het huidige beleidslandschap, de echte risicocategorieГ«n en de governance-praktijken die effectieve programma's toepassen.

DoD en Geallieerd OSS-Beleid: Het Huidige Permissieve maar Beheerste Standpunt

Het huidige standpunt van het US DoD over OSS wordt vastgelegd in verschillende beleidsdocumenten: de CIO-memo van 2009, de aanbevelingen voor softwareacquisitie-praktijken van de Defense Innovation Board uit 2016 en de DoD Software Modernization Strategy uit 2022. De consistente rode draad is dat OSS noch inherent meer noch minder veilig is dan propriГ«taire software вЂ” beveiliging hangt af van de specifieke component, de ontwikkelingspraktijken van de community en de governance die de gebruikende organisatie toepast.

DoD-programma's mogen OSS in het algemeen gebruiken, mits: licentiecontrole om te verzekeren dat licentievoorwaarden compatibel zijn met de distributievereis ten van het programma; kwetsbaarheidsbeoordeling van de specifieke versie die wordt opgenomen; en voortdurende monitoring voor nieuwe kwetsbaarheden in opgenomen componenten. Sommige programma's zijn onderworpen aan aanvullende beperkingen op basis van classificatieniveau, de gevoeligheid van de verwerkte gegevens of specifieke contractuele vereisten.

Geallieerde defensieorganisaties weerspiegelen deze aanpak in het algemeen. De technologiebegeleiding van het UK Ministry of Defence staat OSS-gebruik toe, mits intellectueel eigendomsclearing en beveiligingsbeoordeling. Duitse Bundeswehr-programma's gebruiken open-source componenten uitgebreid, met name in infrastructuurniveau-software, conform BSI-begeleiding over open-source beveiligingsbeoordeling. De afstemming tussen geallieerden is voldoende om te stellen dat internationale programma's doorgaans geen OSS-beleidsconflicten tussen partners ondervinden.

Toeleveringsketenrisico's: Typosquatting, Kwaadaardige Updates en Verlaten Bibliotheken

Het OSS-toeleveringsketen-aanvalsoppervlak omvat verschillende afzonderlijke risicocategorieГ«n, elk met verschillende mitigatie-benaderingen.

Typosquatting. Aanvallers registreren pakketnamen die dicht bij populaire legitieme pakketten liggen вЂ” transitieve spelfouten, alternatieve spellingen of veelvoorkomende typefouten. Een ontwikkelaar die een pakketnaam verkeerd typt, installeert kwaadaardige code in plaats van de beoogde bibliotheek. Typosquatting-aanvallen zijn waargenomen in npm, PyPI en RubyGems en hebben ontwikkelaarsreferenties, omgevingsvariabelen en implementatiesecrets als doelwit gehad. Mitigatie vereist pakket naamverificatie bij installatie en afhankelijkheidslockfiles die exacte pakketnamen en versies vastpinnen.

Kwaadaardige updates. Een legitiem, veelvuldig gebruikt pakket kan een vehicle voor malware worden als de beheerders worden gecompromitteerd, gedwongen of vervangen door vijandige actoren. Het XZ Utils-incident is het meest geavanceerde voorbeeld, maar eenvoudigere gevallen вЂ” beheerderaccount-compromittering die leidt tot een kwaadaardige versie-upload вЂ” komen regelmatig voor. Mitigatie vereist het vastpinnen van specifieke versies in plaats van automatisch de nieuwste versie te accepteren, het verifiГ«ren van pakkethandtekeningen waar beschikbaar en het monitoren op afwijkende veranderingen in pakketgedrag tussen versies.

Verlaten bibliotheken. Open-source projecten worden vaak onderhouden door individuele vrijwilligers of kleine groepen. Wanneer beheerders actieve ontwikkeling stoppen, kan het project nog steeds worden gebruikt door downstream-software terwijl het ongepatchteerde kwetsbaarheden ophoopt. De Log4Shell-kwetsbaarheid trof een project met actief onderhoud; veel real-world kwetsbaarheden treffen componenten die effectief jaren ononderhouden zijn geweest. Mitigatie vereist het bijhouden van de onderhoudsstatus van afhankelijkheden en een beleid voor het vervangen of forken van ononderhouden componenten die beveiligingsgevoelige functies verwerken.

Licentienaleving. Open-source licenties leggen verplichtingen op aan consumenten. Copyleft-licenties (GPL, AGPL) kunnen openbaarmaking van afgeleid broncode vereisen вЂ” wat juridische en beveiligingsrisico's creГ«ert voor defensieprogramma's die broncode niet kunnen openbaar maken vanwege classificatie of concurrentiegerichte zorgen. Licentie-incompatibiliteit kan ook de distributie naar geallieerden of aannemers beГЇnvloeden. Licentiecontrole moet systematisch zijn, niet ad hoc.

OSS-Goedkeuringsproces: Licentiecontrole, Kwetsbaarheidsscanning en Herkomst

Effectieve OSS-governance in defensieprogramma's vereist een gedefinieerd goedkeuringsproces dat elke nieuwe afhankelijkheid moet doorlopen voordat deze in de codebase wordt opgenomen. Het proces moet drie gebieden dekken.

Licentiecontrole bepaalt of de licentie van de component compatibel is met het beoogde gebruik van het programma. Dit vereist inzicht in het distributiemodel van het programma (intern gebruik, levering aan een specifieke klant, commerciГ«le distributie), de licentieverplichtingen opgelegd door elke kandidaat-component, en of die verplichtingen conflicten creГ«ren. Programma's die componenten gebruiken met incompatibele licenties ontdekken het probleem bij contractlevering of juridische beoordeling вЂ” beide dure en tijdrovende momenten om op te lossen.

Kwetsbaarheidsscanning beoordeelt de specifieke versie van de component die wordt overwogen voor opname tegen bekende kwetsbaarheidsdatabases (NVD, OSV.dev, GitHub Advisory Database). De evaluatie moet niet alleen de component zelf dekken, maar ook zijn transitieve afhankelijkheden вЂ” de afhankelijkheden van de afhankelijkheid вЂ” omdat kwetsbaarheden in transitieve afhankelijkheden het opnemende systeem net zo sterk beГЇnvloeden. Scanning bij opname is noodzakelijk maar niet voldoende; het moet continu worden herhaald naarmate nieuwe kwetsbaarheden worden gepubliceerd.

Herkomstbeoordeling beoordeelt de betrouwbaarheid van de ontwikkeling en distributie van de component. Dit omvat: de identiteit en staat van dienst van de beheerders; of het project een beveiligingsoffenbaringsproces heeft; of releases worden ondertekend; of de ontwikkelingspraktijken van het project (codereview, testen, CI) redelijke zekerheid bieden over opzettelijke kwaliteit. Een component met sterke technische beveiligingseigenschappen maar ontwikkeld door onbekende partijen zonder beveiligingsoffenbaringsproces heeft een ander risicoprofiel dan een component met equivalente eigenschappen ontwikkeld door een bekende stichting met transparant bestuur.

Cruciaal onderscheid: Kwetsbaarheidsscanning identificeert bekende kwetsbaarheden. Het biedt geen bescherming tegen onbekende kwetsbaarheden of opzettelijke backdoors. Herkomstbeoordeling en de bredere toeleveringsketen-beveiligingspositie van het project pakken het risicogebied aan dat kwetsbaarheidsscanning niet kan bereiken.

SBOM als OSS-Afhankelijkheidsbeheer-instrument

Een Software Bill of Materials (SBOM) is een formele, machine-leesbare inventaris van alle softwarecomponenten in een systeem вЂ” inclusief open-source bibliotheken, commercieel beschikbare componenten en intern ontwikkelde modules вЂ” met hun versies, licenties en afhankelijkheidsrelaties. SBOM wordt steeds vaker verplicht voor defensiesoftware: US Executive Order 14028 (2021) vereist SBOM voor software die aan federale agentschappen wordt verkocht, en geallieerde landen implementeren equivalente vereisten.

Voor OSS-beheer specifiek biedt SBOM twee mogelijkheden die anders moeilijk op schaal te bereiken zijn. Ten eerste maakt het geautomatiseerde kwetsbaarheids-correlatie mogelijk: wanneer een nieuwe kwetsbaarheid wordt gepubliceerd (bijv. een CVE wordt gepubliceerd voor een specifieke versie van OpenSSL), kan deze automatisch worden gecorreleerd met de SBOM om alle programma's te identificeren die de getroffen versie bevatten. Zonder SBOM vereist deze correlatie handmatige inventaris вЂ” wat traag, foutgevoelig en onwaarschijnlijk consistent uitgevoerd zal worden.

Ten tweede maakt SBOM licentienaleving-monitoring mogelijk over de volledige afhankelijkheidsboom, inclusief transitieve afhankelijkheden. Handmatig licenties bijhouden over honderden afhankelijkheden en hun transitieve afhankelijkheden is niet haalbaar; geautomatiseerde SBOM-tooling maakt het beheersbaar.

Effectieve SBOM-programma's integreren SBOM-generatie in de CI/CD-pipeline zodat de SBOM altijd actueel is met de werkelijk geГЇmplementeerde code, in plaats van een momentopname te zijn die afdwaalt van de realiteit naarmate componenten worden bijgewerkt. De SBOM-formaatstandaarden (CycloneDX, SPDX) zijn volwassen en tooling-ondersteuning is breed. Er is geen technische barriГЁre meer voor SBOM-adoptie вЂ” de resterende barriГЁres zijn organisatorisch: SBOM prioriteren als programma-vereiste en engineering-capaciteit toewijzen om de tooling te implementeren en onderhouden.

Open-Source Software in Defensie: Beleid, Beveiligingsrisico's en Beste Praktijken

DoD en Geallieerd OSS-Beleid: Het Huidige Permissieve maar Beheerste Standpunt

Toeleveringsketenrisico's: Typosquatting, Kwaadaardige Updates en Verlaten Bibliotheken

OSS-Goedkeuringsproces: Licentiecontrole, Kwetsbaarheidsscanning en Herkomst

SBOM als OSS-Afhankelijkheidsbeheer-instrument

Bespreek Uw Project

Veelgestelde Vragen

Open-Source Software in Defensie: Beleid, Beveiligingsrisico's en Beste Praktijken

DoD en Geallieerd OSS-Beleid: Het Huidige Permissieve maar Beheerste Standpunt

Toeleveringsketenrisico's: Typosquatting, Kwaadaardige Updates en Verlaten Bibliotheken

OSS-Goedkeuringsproces: Licentiecontrole, Kwetsbaarheidsscanning en Herkomst

SBOM als OSS-Afhankelijkheidsbeheer-instrument

Bespreek Uw Project

Veelgestelde Vragen

Gerelateerde Artikelen