Vraag een bestuurder of hij/zij een voorkeur heeft voor open source software en het antwoord zal bijna altijd positief zijn. Open Source is gratis, het is veilig, heeft het stempel “created by the people, for the people” en het geeft mensen op één of andere manier een goed gevoel. Maar mag het misschien een klein beetje kritischer?
Uit een recent onderzoek van Synobsis bleek dat 98% van de IT-transacties wereldwijd in 2023 open source componenten bevatte die al meer dan 4 jaar out-of-date waren. U leest het goed, niet 4 jaar oud, maar 4 jaar na het moment waarop de community heeft aangegeven dat versies niet meer veilig zijn en niet meer ondersteund worden.
Net zoals er angst bestaat dat veel data van de Nederlandse Overheid zich in de cloud van een grote Amerikaanse multinational opgeslagen wordt zou er ook angst moeten zijn dat we dus regelmatig met softwarecomponenten werken waarvan de makers al 4 jaar vinden dat het niet meer verantwoord is om het nog langer te gebruiken.
Gratis software bestaat niet. En als de software al gratis is, dan betaal je voor de implementatie, het onderhoud en de ondersteuning. Betaal je daar niet voor, dan is dat een risico en het staat natuurlijk iedereen vrij om zo’n, ingecalculeerd, risico te nemen. Natuurlijk worden er ook “oude” open source componenten in commerciële applicaties gebruikt, maar daar heeft u garantie, ondersteuning van de leverancier en andere zekerheden. Ook voor de ondersteuning van typisch Nederlandse protocollen, procedures en regels ben je altijd afhankelijk van een (Nederlandse) contributor of een Nederlands commercieel bedrijf dat deze open source software ondersteund, implementeert en kan aanpassen. En dat is meestal ook niet gratis.
Je kunt geen tegenstander van open source software zijn want er wordt bijna geen commerciële software gebouwd zonder open source componenten. Maar je moet als organisatie wel heel goed bedenken wat je binnenhaalt op het moment dat je kiest voor een complete open source oplossing. Hoe groot is de community en hoe betrouwbaar zijn de contributors? Hoe wordt het geld verdiend? Hoe meld ik een probleem aan, wie lost het op en hoe snel?
Op het moment dat je software gebruikt wordt je afhankelijk. Het is dus belangrijk om te kijken van wie je afhankelijk wordt. Wees niet naïef als je een oplossing zoekt waar je organisatie met handen en voeten aan gebonden is voor de komende 10 jaar. Kijk naar alle belangrijke aspecten en niet alleen of het voldoet aan een algemene “open source” eis. Misschien toch maar beter om meer en meer functionaliteit als dienst vanuit de cloud af te nemen? Dat geeft meer tijd en ruimte om digitalisering echt goed aan te pakken en voorkomt dat je ingewikkelde keuzes moet maken.
Blogger: Marcel den Hartog – Trend & Innovations Expert EnableU.
Als ik het goed begrijp is de redenering dat heel veel overheden in Nederland kiezen voor het zogeheten download scenario waarbij ze geen aanbesteding hoeven te doen, maar zelf zomaar een open source programma downloaden en gaan gebruiken. En dat het dan componenten bevat die al langer dan vier jaar out-of-date zijn. De vraag is dan natuurlijk waar deze software vandaan komt? Wordt het gedownload bij de communitywebsite zelf? En als dat het geval is, hoe groot is dan de kans dat het die out-of-date componenten bevat? Gelukkig is het zo dat je bij dat gedownloade open source product volledig vrij bent om bij iedere dienstverlener die dat kan ondersteuning in te kopen. Je kunt dus als overheid een onafhankelijke derde onderzoek laten doen naar de het up to date zijn van de componenten, of inhuren voor onderhoud, support of de implementatie. Dat kost uiteraard geld, maar het kosten aspect is nog nooit de reden geweest voor bestuurders om een voorkeur te hebben voor open source. Waar het daarentegen wel om gaat dat zijn aspecten van leveranciersonafhankelijkheid, digitale souvereiniteit, en het voor de Nederlandse ICT industrie bewerkstelligen van een gelijk speelveld zodat zij hun producten kunnen koppelen aan de in gebruik zijnde open source software, en daar zelf ook diensten voor kunnen ontwikkelen. Is de cloud hiervoor dan de meest logische oplossing? Niet alleen heb je ook daar natuurlijk de kans dat er out-of -date componenten in zitten, maar je kunt er als afnemer ook helemaal niets aan doen. De cloud is immers de ultieme vorm van leveranciersafhankelijkheid.
Mathieu, het gaat natuurlijk ook om Open Source software die gebruik maakt van andere Open Source Componenten (dat geldt overigens ook voor commerciele software). Er wordt steeds vaker gesproken over de noodzaak voor een BOM (Bill Of Materials) voor iedere softwareoplossing waarin bijgehouden wordt of de componenten waar gebruik van gemaakt wordt nog wel up-to-date zijn. (https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html#UXexecutiveSummary).
Mijn punt was vooral dat de keuze voor welke oplossing dan ook gepaard moet gaan met een gedegen risicoanalyse. Gebruik je software waarvan je niet kunt aantonen dat alle componenten up-to-date zijn en waar je geen zekerheden hebt voor wat betreft garanties op ondersteuning en voldoende kennis in de markt dan moet je je tweemaal bedenken. Net als iedere andere investering moet er een risico analyse gedaan worden en mogen sentimentele overwegingen geen (te) grote rol spelen.
Politici die uit politieke overtuiging Open Source Software tot standaard willen uitroepen blinken vaak niet uit in kennis over de risico’s die bij zo’n uitspraak horen.