Öppen källkod – Transparens är nyckeln till säker data

Öppen källkod, eller open source, är i dag en etablerad och populär form av programvara. Insynen i hur öppna programvaror är uppbyggda ger stora fördelar vad gäller cybersäkerhet. Det blir så enkelt som möjligt för vem som helst att upptäcka och i bästa fall åtgärda säkerhetsbrister i källkoden. Karl Emil Nikka på Nikka Systems förklarar hur det fungerar.

Att MetaSolutions plattform EntryScape är tillgänglig som öppen källkod (open source) är naturligt med tanke på att den används för att hantera och publicera öppna data. Öppenhet och transparens går som en röd tråd genom MetaSolutions verksamhet. Det vore konstigt om EntryScape skulle släppas som en proprietär, stängd, programvara.

Men det finns även specifika skäl till att tillhandahålla programvaror, som webbtjänster, som öppen källkod. Ökad cybersäkerhet är ett sådant skäl, vilket IT-säkerhetsspecialisten Karl Emil Nikka som driver företaget Nikka Systems framhåller.

Do you want to read this text in English? Click here!

– Med öppen källkod går det att förstå vad källkoden gör, vilket gör det enklare att identifiera säkerhetsbrister, säger Karl Emil Nikka.

Det går förstås att vända på resonemanget, att det även blir enklare för cyberbrottslingar att upptäcka säkerhetsbrister i programvaror, som de kan utnyttja.

– Men i dag finns det avancerade så kallade dekompilatorer som brottslingar kan använda för att analysera proprietära programvaror och upptäcka säkerhetsbrister. Men öppen källkod får även de som vill säkra programvaror den möjligheten på ett lagligt sätt, förklarar Karl Emil Nikka.

Olika sorters öppen källkod

Karl Emil Nikka är noga med att förklara att det är skillnad på öppen källkod (open source) och source available. Med öppen källkod kan vem som helst (i princip) både titta på och ändra källkoden (programkoden) för en programvara, vilket gör att säkerhetsbrister kan åtgärdas. Med source available kan man titta på källkoden, men inte ändra den, vilket gör att säkerhetsbrister inte kan åtgärdas av vem som helst.

Brasklappen ”i princip” ovan, vad gäller att ändra källkod, syftar på att det finns en mängd olika licenser för öppen källkod, med delvis olika lydelser. För att ytterligare komplicera bilden vill vissa personer hellre prata om fri programvara (free software), än öppen källkod. Men, återigen, i princip innebär öppen källkod att vem som helst, du och jag, kan ändra källkoden. Sedan finns det olika regler för hur den ändrade källkoden ska göras tillgänglig för andra.

I samband med sådana resonemang lyfter Karl Emil Nikka fram ytterligare en viktig säkerhetsmässig aspekt vad gäller öppen källkod. Om de som utvecklar en öppen programvara slutar att vidareutveckla den, till exempel att täppa igen säkerhetshål, kan användarorganisationer som vill fortsätta använda programvaran själva vidareutveckla den. Den kan till exempel göras med något som kallas en ”fork” (i princip en ny version av programvaran som kan vidareutvecklas för sig). Kontentan är att man inte är tvingad att överge en viktig programvara bara för att dess ursprungliga utvecklare slarvar med säkerheten. I vissa fall kan det vara mer effektivt och lönsamt att vidareutveckla programvaran på egen hand, i stället för att byta till ett säkrare alternativ.

– Med öppen programvara är man inte heller tvungen att uppgradera till nya versioner bara för att företaget bakom en programvara vill det. Om den egna organisationen har intresset och resurserna för att underhålla en äldre version är det inget som hindrar dem från att göra det. Ifall många organisationer delar intresset kan de hjälpas åt med arbetet, säger Karl Emil Nikka.

Det går alltså i de flesta fall att behålla en äldre, fullt duglig, version av en programvara och vidareutveckla den för att åtgärda säkerhetsbrister som upptäcks.

Kontroverser kring användning och vidareutveckling

Öppen källkod är en i stora drag okontroversiell företeelse numera. Faktum är att åtskilliga populära programvaror, ofta sådana som användare inte kommer i kontakt med men som är viktiga för funktionalitet, är öppna i dag.

Men det finns ändå en del kontroverser, inte minst att kommersiella företag använder kostnadsfria öppna programvaror utan att bidra till vidareutvecklingen av dem. Det har i vissa fall lett till att personerna bakom populära öppna programvaror har bytt från öppen källkod, till source available, vilket kan ses som en försämring ur säkerhetssynpunkt.

En intressant fråga är vad som kan begäras av myndigheter som använder öppna programvaror. Kan man ställa samma krav på dem som vissa gör på kommersiella företag, att de ska bidra till vidareutveckling av de öppna programvaror som de använder?

– Det är en svår fråga. Personligen tycker jag att det är förkastligt att det inte ställs krav på öppen källkod i offentliga upphandlingar, avslutar Karl Emil Nikka.