Ja, Zero Trust en open-source software (OSS) gaan absoluut samen, en het is zelfs een absolute noodzaak om deze twee te combineren voor veilige softwareontwikkeling.

In de praktijk heerst er nog vaak een blinde vlek: hoewel organisaties commerciële software streng controleren, wordt open-source code vaak impliciet vertrouwd. Moderne applicaties bestaan echter voor 70% tot 80% uit externe open-source afhankelijkheden (dependencies). Kwaadwillenden maken hier misbruik van door malware te verstoppen in populaire repositories zoals npm en PyPI, of door backdoors in te bouwen zoals recentelijk bij de XZ Utils-software gebeurde. Dit indruist direct tegen de kern van Zero Trust: "never trust, always verify".

Om de innovatiekracht en snelheid van open-source te behouden zonder enorme supply chain-risico's te lopen, moeten organisatie ...