Cal.com gaat closed source. Dit is waarom.

Dit is geen gemakkelijke post om te schrijven.

Toen we Cal.com begonnen, geloofden we sterk in open source. Het is een kernprincipe waarop we dit bedrijf hebben gebouwd, en iets waar we ongelooflijk trots op zijn.

Vandaag nemen we het zeer moeilijke besluit om over te stappen op gesloten broncode, en daar is één simpele reden voor: beveiliging.

AI verandert alles. Het verandert hoe we content schrijven, software bouwen en ons dagelijks werk doen. Maar waar veel minder over wordt gesproken, is hoe ingrijpend AI de wereld van beveiliging verandert.

Vroeger vereiste het misbruiken van een applicatie een hooggekwalificeerde hacker met jarenlange ervaring en een aanzienlijke tijdsinvestering om kwetsbaarheden te vinden en uit te buiten. De realiteit is dat mensen niet de tijd, aandacht of het geduld hebben om alles te vinden.

Tegenwoordig kan AI op een open-source codebasis worden gericht en deze systematisch op kwetsbaarheden scannen.

Open source zijn is steeds meer alsof je aanvallers de blauwdrukken van de kluis geeft. Wanneer de structuur volledig zichtbaar is, wordt het veel gemakkelijker om zwakke plekken te identificeren en uit te buiten.

In de afgelopen maanden hebben we een golf gezien van AI-beveiligingsstart-ups die deze mogelijkheid productiseren. Elk platform brengt andere kwetsbaarheden aan het licht, waardoor het moeilijk is om één betrouwbare bron van waarheid vast te stellen over wat daadwerkelijk veilig is.

Deze onzekerheid dwong ons een keuze te maken: open source blijven en toenemend risico voor klantgegevens accepteren, of overstappen op gesloten broncode om dat risico te verkleinen. Het is geen perfecte oplossing, maar we moeten alles doen wat we kunnen om onze gebruikers te beschermen.

Tegelijkertijd geven we nog steeds veel om open source. Daarom brengen we een versie van onze codebasis uit voor de community onder de MIT-licentie als Cal.diy. Hoewel onze productiecodebasis aanzienlijk is afgeweken, inclusief grote herschrijvingen van kernsystemen zoals authenticatie en gegevensverwerking, willen we ervoor zorgen dat er nog steeds een echt open versie beschikbaar is voor ontwikkelaars, hobbyisten en iedereen die wil verkennen en experimenteren.

Het risicolandschap ontwikkelt zich razendsnel. Geavanceerde AI-modellen zijn nu in staat kwetsbaarheden met ongekende snelheid te identificeren en uit te buiten. In een recent voorbeeld ontdekte AI een 27 jaar oude kwetsbaarheid in de BSD-kernel, een van de meest gebruikte en op beveiliging gerichte open-sourceprojecten, en genereerde binnen enkele uren werkende exploits.

Als we als open source zouden doorgaan, zouden onze applicatie, onze klanten en de gevoelige gegevens die we verwerken aanzienlijk risico lopen. We nemen elke stap die we kunnen om dat risico te verkleinen en onze gebruikers te beschermen, en voor nu betekent dat dat we ondanks hoe moeilijk die beslissing is overstappen op gesloten broncode.

We hopen dat we op een dag kunnen terugkeren naar open source naarmate het beveiligingslandschap zich ontwikkelt. Maar voor nu moeten we onze klanten op de eerste plaats zetten.