OpenBao Secrets Management in EU Open Source Catalogus
OpenBao staat nu officieel in de EU Open Source Solutions Catalogue van de Europese Commissie. Voor wie het project nog niet op de radar heeft: OpenBao is de community-gedreven fork van HashiCorp Vault, ondergebracht bij de Linux Foundation en de OpenSSF. Een secrets manager die een probleem oplost dat in de meeste organisaties groter is dan men denkt: secret sprawl. API-tokens in .env-bestanden, database-credentials in CI/CD-pipelines, certificaten in een Confluence-pagina, SSH-keys op de laptop van die ene engineer die vorig jaar is vertrokken. OpenBao trekt dat alles naar één centrale, auditbare plek, met fijnmazige toegangsregels en encryptie als standaard. Dit schrijft Bas van Wesel (foto), Customer Development Manager bij Adfinis, in deze blog.
Wat het écht interessant maakt: secrets zijn niet langer statisch. OpenBao kan ze dynamisch genereren en automatisch laten roteren. Een database-credential die alleen 24 uur leeft, een cloud-IAM-token dat na de deploy direct verdampt, een PKI-certificaat dat zichzelf vernieuwt voordat het verloopt. Geen gedeelde wachtwoorden die jarenlang blijven rondzingen, geen handmatige rotaties die "volgende sprint" worden ingepland en het daarna nooit halen.
Dat OpenBao het EU-keurmerk krijgt, is geen marketingstunt. De catalogus is bedoeld als overzicht voor Europese overheden die op zoek zijn naar open source bouwstenen waar ze daadwerkelijk op kunnen leunen: geen vendor lock-in, transparante governance en code die je morgen nog kunt forken als het moet. OpenBao scoort in die catalogus op het moment van schrijven een vitality-index van 95%, wat in mensentaal betekent: er wordt actief aan gewerkt door een serieuze groep mensen.
Waarom dit ertoe doet
Secrets management klinkt als een onderwerp voor de infra-club achterin het kantoor, maar in de praktijk is het een van die fundamentele lagen waar bijna alles op rust. Identity, zero trust, compliance, audit trails, het begint allemaal bij de vraag: wie heeft toegang tot welke sleutel en kunnen we dat aantonen?
Voor (publieke) organisaties die kijken naar DORA, NIS2 of de AVG, is het hebben van een open, controleerbare secrets manager geen luxe. En voor wie het thema digitale soevereiniteit volgt, een onderwerp dat in Brussel en Den Haag steeds vaker op de agenda staat, is een EU-erkende, community-bestuurde Vault-fork een interessante ontwikkeling. Geen Amerikaanse licentievoorwaarden die volgend jaar zomaar omgegooid kunnen worden. Geen "BSL is toch wel een beetje open source, hè?". Gewoon MPL-2.0, een TSC en een publieke roadmap.
De Nederlandse hoek
Ook leuk om te melden: Adfinis levert inmiddels zes dedicated engineers aan OpenBao en heeft een zetel in de Technical Steering Committee. Voor een project dat nog relatief jong is, is dat een serieuze bijdrage en het is een van die voorbeelden waar een Europese partij niet alleen meedraait, maar ook meebeslist over de technische richting. Geen consumer van open source dus, maar contributor.
Voor wie zelf eens wil kijken: de TSC-calls van OpenBao zijn publiek (tweede donderdag van de maand) en de repo staat gewoon op GitHub. Aanschuiven mag. Dat is het mooie aan dit soort projecten.
Door: Bas van Wesel, Customer Development Manager Adfinis.
Adfinis is een internationale onderneming met een sterke focus op open-source software. Het bedrijf heeft meer dan 25 jaar ervaring in het ontwerpen, bouwen en beheren van mission-critical open-source platformen en ondersteunt sinds zijn oprichting ruim tachtig projecten wereldwijd. Met dit portfolio stimuleert Adfinis de adoptie van open-source security-fundamenten binnen cloud-native en gereguleerde IT-landschappen.
