BLOG header Liberty

Open source-ontwikkelaar saboteert veelgebruikte open source software  

Actueel

Open source-ontwikkelaar Marak Squires heeft zijn eigen open source code libraries gesaboteerd. Het gaat om de twee populaire libraries ‘colors’ en ‘faker’, die op de open source repository NPM op GitHub staan. Beide bestanden worden miljoenen keren per week gedownload en gebruikt in duizenden softwareprojecten. Veel organisaties gebruiken de bestanden om snel basisfunctionaliteiten toe te voegen aan hun software. Zo hoeven ze niet telkens opnieuw het wiel uit te vinden. 

Mogelijk protest van Squires

Het is niet volledig duidelijk waarom Squires zijn eigen bestanden heeft gesaboteerd. Het lijkt om een protest te gaan tegen het gebruik van open source-bestanden in applicaties met commerciële doeleinden. In 2020 schreef Squires al dat hij niet langer Fortune 500-organisaties wilde helpen met zijn gratis werk.  

Beide bestanden waren tijdelijk onbruikbaar. De aanpassingen van de developer zorgden ervoor dat applicaties die deze bestanden gebruikten nu een eindeloze loop aan betekenisloze letters en tekens lieten zien, die startte met drie regels aan: 'LIBERTY LIBERTY LIBERTY'. Inmiddels zijn de bestanden op de NPM registry teruggedraaid. 

De risico's van open source en het belang van update management

Dit incident laat zien dat bedrijven afhankelijk zijn van open source. Rik van Berendonk, technisch directeur van OGD: “Marak Squires heeft laten zien dat veel software van commerciële bedrijven leunt op open source code. Het roept vragen op over hoe veilig dat is. Dit incident laat - net als de kwetsbaarheid in Apache Log4j - zien dat fouten in open source-software een grote impact hebben.” 

Open source-software is heel waardevol, maar brengt wel risico's met zich mee. Als je automatisch updates uitvoert kan een fout in de software, opzettelijk of niet, grote gevolgen hebben voor de beschikbaarheid en de security van je applicatie. De acties van Squires laten dus zien dat je moet nadenken over je update management. Het altijd controleren van updates is veiliger, maar brengt wel extra beheerlast en dus kosten met zich mee. Als organisatie moet je een balans zien te vinden tussen de risico's en de kosten.