Omsätt insikter i handling: Bitwarden Access Intelligence är nu tillgängligt Läs mer >

Bitwarden-bloggen

Fördelen med öppen källkod: Att stärka motståndskraften mot säkerhet genom samarbete i samhället

B
skriven av:Bitwarden
publicerad :

Learn more about the annual Open Source Security Summit.

Q&A with TrustedSec and Nextcloud at the 2023 Open Source Security Summit

The Bitwarden team had the privilege of speaking with experts David (Dave) Kennedy, Founder and CEO at TrustedSec and Jos Poortvliet, Co-Founder and Director of Marketing at Nextcloud, during the 2023 Bitwarden Open Source Security Summit. Dave is a self-described “security expert, keynote speaker, avid gamer, and the go-to for protecting companies from threats.” Jos Poortvliet is a “people person, technology enthusiast and all-things-open evangelist.” 

The below Q&A features insights about open source collaboration, how it keeps organizations accountable, and how it differs from closed source protocols.

Se hela paneldiskussionen

Bitwarden: Panelen i dag kommer att diskutera hur man kan stärka säkerhetsmotståndskraften genom samhällssamarbete. Dave, vi börjar med dig. Hur har din organisation gynnats av att integrera lösningar med öppen källkod i din teknik?

Dave Kennedy: När du tittar på säkerhet i allmänhet, tänker de flesta på API:er och kryptografi, men det finns ett annat område kring cybersäkerhet som involverar offensiva möjligheter och verktyg som är utformade för att efterlikna vad andra angripare gör. Genom att förstå vad angripare gör, låter det dig modellera dina defensiva förmågor och ha en mycket starkare produkt i allmänhet. Samarbetet kring dessa aspekter är verkligen starkt. 

Jag har skrivit ett antal verktyg med öppen källkod. Vi utnyttjar öppen källkod mycket kraftigt för vår egen produkt och har gemenskapsprojekt som gör att vi kan dra nytta av analyskomponenten i öppen källkodsgemenskapen. Samarbetet, såväl som funktioner och funktionalitet, är oöverträffad. Det slår allt annat du har där ute, vilket gör det möjligt att identifiera hot, sårbarheter och exponeringar via mer offentlig kod jämfört med stängd källa. Samarbete och att kunna dra från många människor genom initiativ som bug bounty-program kan hjälpa dig att dyka ner i potentiella exponeringar i din egen produkt. Det gör din produkt, liksom det du gör i din egen organisation, ännu bättre. 

Bitwarden: Kan du ge oss bara en minuts förklaring av ditt företag, Dave?

Dave Kennedy: Jag äger två företag. Jag startade och grundade TrustedSec och Binary Defense. Vi har över 350 anställda över hela världen. Vi arbetar med tre av Fortune Five och 70 % av Fortune 1 000-företagen, tillsammans med små till medelstora företag. 

Vi fokuserar på informationssäkerhetsrådgivning, vilket inkluderar penetrationstestning, red teaming, källkodsanalys och förvaltningsrådgivningstjänster. Vi hjälper företag att hantera upptäckt och svar när vi söker efter intrång och angripare i några av de största företagen i världen. Vi försöker stoppa angripare genom att ta reda på vad de gör och sedan se till att organisationer har bra försvar mot det.

Bitwarden: Går vidare till ett intro av Nextcloud. Det har alltid funnits mycket överlappning av gemenskapen, så jag vet att Bitwarden-gemenskapen gärna hör från dig. Jos, dela också mer om hur integration av öppen källkod verkligen har gynnat Nextcloud-rörelsen. 

Jos Poortvliet: Dessa två saker är nästan likadana, eller hur? Vi grundade Nextcloud för att ge människor kontroll över sin data och – där Bitwarden gör det är genom att ge människor kontroll över sina lösenord – vi började med fokus på data som används i samarbete. 

Vi skapar en samarbetsplattform med öppen källkod med dokumentdelning, videochatt, kalender, e-post och alla andra grundläggande funktioner som ni behöver för att arbeta tillsammans – och den är utformad för att köras lokalt. Vi gör programvaran, men vi är inte värdar. Användare kan enkelt köra Nextcloud i molnet eller på plats. Vi är måna om att ge våra användare möjligheten att ha både kontroll och valmöjligheter. 

För att komma till frågan om öppen källkod är transparens nyckeln. 

Att arbeta i offentligheten bidrar till att skapa en trygg kultur både internt och utanför företaget.

När vi startade företaget visste vi att göra det med öppen källkod skulle skapa medvetenhet eftersom folk tittade på koden. Att utveckla en produkt i det fria innebär att människor får insikter i vår säkerhet. Vi gömmer inte sårbarheter i ett hörn någonstans och säger att vi fixar det senare - det kan du inte göra med öppen källkod. Det har gjorts studier som visar att när människor känner att de blir övervakade ändrar de sitt beteende. Vi utnyttjar det på ett positivt sätt. Det är kärnan i vårt DNA som företag. 

Bitwarden: En av anledningarna till att den här konferensen började var på grund av missuppfattningarna om möjligheten för öppen källkod att ge säkerhetsmotståndskraft. Kan ni var och en ge några exempel på när ni kan ha haft människor som var skeptiska och hur ni kunde lindra deras oro?

Dave Kennedy: Jag är en Nextcloud-kund och en Bitwarden-användare också. Så vi är i gott sällskap här. Och varför är det så? Vi är ett cybersäkerhetsföretag och vi måste se till att de produkter och teknik som vi använder är bäst i klassen, särskilt när det kommer till vår exponering. Vi arbetar med statliga myndigheter och några av de största företagen i världen. 

För mig är fördelen på marknaden med att använda verktyg med öppen källkod att du vet om ett företag använder solid kryptografi.

Vi har uppenbarligen sett att lösenordshanterare med stängd källkod har några stora problem med sin förmåga att skydda behållare och lagring. 

Det är bra att ha transparens när vi ska till en kund. Säg att de har en produkt med sluten källkod - ur ett svart lådas perspektiv hittar vi vanligtvis några ganska hemska saker. När vi går från ett perspektiv med öppen källkod kan vi hitta saker, men det är inte alls lika katastrofalt. 

Min karriär har ägnats åt offensiv säkerhet – att göra allt från nolldagsforskning till Microsoft-produkter och starta PowerShell-säkerhetsrörelsen hos Microsoft.

Gång på gång kan jag säga att de produkter som verkar mindre osäkra är öppen källkod, eftersom de har gått igenom den strängheten.

När folk tänker på öppen källkod tror jag att en av deras första tankar är att det inte får vara kommersiellt. Jag skulle hävda att det är mer kommersiellt och mer strömlinjeformat och mer använt eftersom du får det samarbetet. 

Om du tittar på projekt med öppen källkod där ute, kommer du att hitta fans som brinner för ditt varumärke och det du bygger. De börjar förstärka din produkt och komma med fantastiska idéer och funktionsförfrågningar, och det förbättrar din produkt totalt sett. 

Som säkerhetsproffs med 25 års erfarenhet föredrar jag öppen källkod eftersom jag vet vad jag ger mig in på. Jag kan validera med mina kunder och vet att jag har ett mycket starkare fotavtryck ur ett defensivt perspektiv.

Jos Poortvliet: Ja, det är transparensen - det förändrar den interna företagskulturen. Vi stöter ofta på kunder som kommer till oss och frågar om våra produkter eller hur man kommer igång. Senare upptäcker vi ofta att de anlitat ett externt företag som gjort en säkerhetsrevision, granskat koden och gett feedback om det var en bra produkt. 

Vi måste vara realistiska här. Det finns människor som går på GitHub förutsatt att många människor läser kod för hobby, hela dagen lång. Det är inte nödvändigtvis fallet med större företag. Vi drar nytta av massor av människor som har incitament, kunskap och viljan att pusha oss. Utöver det har vi ett 10 000 $ bug-bounty-program, vilket också hjälper. 

När människor hittar problem tittar de på dem och rapporterar dem. Du behöver fortfarande en bra kultur och bra processer på plats för att kunna svara effektivt. Eftersom du arbetar i det fria börjar du automatiskt bygga dessa processer. Sättet med öppen källkod att hantera säkerhetsfrågor - som Linux-kärnan gör och många andra känsliga projekt gör - håller på att bli branschstandard eftersom dessa projekt öppet tvingas att optimera och förbättra hela tiden. 

Proprietära organisationer ligger ofta efter öppen källkod.

Ett exempel: många tidigare säkerhetsstandarder rekommenderade människor att byta lösenord varannan månad. Vi vet nu att det inte är klokt, eftersom människor väljer enkla lösenord de kan komma ihåg. Ett lösenord byggt kring en lösenfras är ofta bättre. Det är lätt att komma ihåg och mycket svårare för hackare att knäcka. Dessa saker är inte ofta listade ut av egna företag. 

Bra utveckling och innovation sker mellan säkerhetsforskare, passionerade användare och företag som arbetar tillsammans på ett öppet sätt.

Dave Kennedy: För att slå riktigt snabbt på vad Jos sa där – lägg märke till att han sa att vi är tvungna att åtgärda problemen eftersom de är offentliga och utsatta. Medan med stängd källa, fanns det ett antal gånger vi hittade några katastrofala problem som aldrig blev åtgärdade eftersom ingen såg det. 

När du är i offentlighetens rampljus hålls du till en helt annan standard i öppen källkod än du är via protokollet med stängd källkod. Brådskan att fixa och åtgärda saker blir avsevärt ökad. 

Vi hittade faktiskt en exponering, en ganska liten sak, som fixades på åtta timmar. Det är den typen av vändning du hittar i produkter som är specialiserade på öppen källkod. 

Det är den agila arbetsflödesutvecklingen, men också att kunna ta in andra ingångskällor. 

Stängd källa är en kaotisk, långsam maskin. Med öppen källkod ser vi mycket bättre kodkvalitet. Folk ser din kod, gör kommentarer och sedan fungerar den korrekt.

Jos Poortvliet: Det har med kostnaden att göra också. För en stor organisation är säkerhet bara en kostnad. Så länge ingen hackar systemet, eller det inte finns några stora offentliga intrång eller säkerhetsexplosion som kommer i nyheterna, har det låg prioritet. Människor på golvet vägleds av dessa prioriteringar från ledningen. Med öppen källkod ser du utvecklare som finns där ute och som är offentliga. De har motivation. Om du är anonym i en stor organisation kommer din karriär förmodligen inte att påverkas om det finns ett stort säkerhetsbrist. Det här är inte bra.

Bitwarden: Vi har pratat mycket om skydd, säkerhetsmekanismer och sårbarheter. Jag vill satsa på innovation och samarbete. Kan ni var och en ge en snabb sammanfattning av vad ni har sett och dela hur öppen källkod har hjälpt?

Jos Poortvliet: Öppen källkod sätter ofta standarden i detta avseende. Människor kommer, genom att arbeta öppet och öppet tillsammans, identifiera sätt på vilka cyberbrottslingar kan hacka ett system. Du kommer att undersöka alla nivåer. 

Folk kommer att forska om Linux, eftersom det är välförstått. Väldigt få människor kommer att göra avancerad säkerhetsforskning på Windows, eftersom det inte finns mycket insyn där. 

Öppen källkod är helt avgörande för att skapa nya standarder och utveckla tekniken. Med proprietär programvara döljs många fler buggar, tills de rinner ut i det fria. Utan transparens utgör koden en risk.

Dave Kennedy: Det som händer med samarbete med öppen källkod är att du har en extern community som är lika passionerad som ditt team, och som även får använda produkten och se saker som du inte gör. Några av de bästa kundfunktionerna vi har implementerat, eller saker som jag har skrivit i verktyg eller ramverk med öppen källkod, har kommit från personer som använder verktyget. De säger, "Hej, det skulle vara coolt om du gjorde det här," eller "här är en annan produkt du kan integrera som ger dig alla dessa möjligheter." Så det driver verkligen innovation.

Det finns en bra bok om hur ett gäng chefer gick in i ett rum och började prata om vad som är fel med verksamheten och varför de ser att deras siffror sjunker, men de pratar faktiskt inte med kunden om varför deras siffror sjunker. De har bara idéer om varför det inte fungerar. Det är en liknelse för öppen källkod. 

När du kan få feedback direkt från samhället, från människor som brinner för din produkt, gör de din produkt ännu bättre. 

Innovationen och ökningen du kan få från samarbete med öppen källkod och gemenskaper med öppen källkod är astronomiska.

Jag har så många stängda skräckhistorier som jag skulle kunna berätta om. Vi var tvungna att gå och presentera på DEFCON och exponera dem för att få dem att faktiskt flytta saker. Det finns en stor skillnad och den offentliga delen av öppen källkod är en stor del av det.

Läs mer om 2023 Bitwarden Open Source Security Summit

Kom igång med Bitwarden

Är du redo att testa lösenordsdelning med Bitwarden? Kom snabbt igång med ett gratis Bitwarden-konto, eller starta en 14-dagars gratis provperiod på våra affärsplaner för att hålla ditt team säkert online. Har du frågor? Registrera dig för den kostnadsfria veckodemon.

Back to Blog

Get started with Bitwarden today.