İçerik
- Açık Kaynak Her Yerde
- Açık Kaynak Güvenlik Açıkları: Sonuçlar Var
- Hepsinden Korunmasız Olan Nedir?
- Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
- Açık Kaynak Güvenlik Açıklarının Vahşi Batısı
- Açık Kaynak Topluluğu Güvenlik Üstünde - Şimdi Kullanıcıların Yetişmesi Gerekenler
- Açık Kaynak Güvenliğinde Nasıl İleriye Gidilir?
Paket servisi:
Açık kaynaklı bileşenler, yazılım oluşturmak için harika bir yoldur, ancak içerisindeki güvenlik açıkları tüm kuruluşunuzu tehlikeye atabilir. Kendinizi ve işinizi korumak için riskleri öğrenin ve açık kaynaklı güvenlik çözümleri konusunda güncel kalın.
Geliştirme ekipleri, yazılım üretiminin rekabetçi hızına ayak uydurmak için yarışırken, açık kaynaklı bileşenler, her geliştiricinin araç kutusunun ayrılmaz bir parçası haline geldi ve DevOps hızında yenilikçi ürünler oluşturmalarına ve göndermelerine yardımcı oldu.
Açık kaynak kullanımındaki sürekli artış ve bunun yanı sıra, açık kaynak bileşenlerinde güvenlik açıklarından yararlanan Equifax ihlali gibi manşet alan veri ihlalleri, açık kaynak güvenliğini yönetmeye ve Açık Batı güvenlik açığı açık alanlarını ele almaya hazır kuruluşlara sahip olabilir. Asıl soru, nereden başlayacaklarını bilip bilmedikleri. (Daha fazla bilgi için, bkz. Niteliksel vs Nicel: Değişim Zamanı Üçüncü Taraf Güvenlik Açıklarının Ciddiyetini Nasıl Değerlendiriyoruz?)
Açık Kaynak Her Yerde
WhiteSource, kuruluşların açık kaynak güvenliğine nasıl daha iyi yaklaşacaklarını daha iyi anlamalarına yardımcı olacak fikirler sağlamak için geçtiğimiz günlerde Açık Kaynaklı Güvenlik Açığı Yönetim Raporunu yayımladı. ABD ve Batı Avrupa'dan 650 geliştirici arasında yapılan açık kaynak kullanımı ile ilgili bir araştırmanın sonuçlarını içeren rapora göre, geliştiricilerin yüzde 87,4'ü “çok sık” veya “her zaman açık kaynak bileşenlerine güveniyor. “Başka bir yüzde 9,4,“ bazen ”açık kaynaklı bileşenler kullandıklarını söyledi. Dikkat çeken, katılımcıların yalnızca yüzde 3,2'sinin, şirket politikası sonucu olabilecek açık kaynak kullanmadıklarını söyledi.
Bu rakamlar, bir yazılım projesi üzerinde çalışan bir geliştiricinin büyük olasılıkla açık kaynak bileşenlerini kullandığı şüphesinin ötesinde olduğunu kanıtlamaktadır.
Açık Kaynak Güvenlik Açıkları: Sonuçlar Var
Raporda ayrıca, geliştirme ekiplerinin ihtiyaç duyduğu açık kaynaklı güvenlik açıkları hakkında bilgi edinmek için Ulusal Güvenlik Açığı Veritabanından (NVD), güvenlik danışma belgesinden, meslektaşları tarafından incelenen güvenlik açığı veritabanlarından ve popüler açık kaynak kodlu yayıncılardan toplanan WhiteSource açık kaynak veritabanının derinliklerine bakıldı başa çıkmak için.
Sonuçlar, bilinen açık kaynaklı güvenlik açığı sayısının 2017'de yaklaşık 3.500 güvenlik açığı ile tüm zamanların en yüksek seviyesine çıktığını göstermiştir. Bu, 2016 yılına göre açıklanan açık kaynaklı güvenlik açığı sayısındaki yüzde 60'ın üzerinde bir artış ve trend, 2018'de yavaşlama işareti olmadığını gösteriyor.
Hepsinden Korunmasız Olan Nedir?
Araştırma aynı zamanda en savunmasız açık kaynaklı projeleri bulmak için veritabanına girdi ve şaşırtıcı sonuçlar verdi. Tüm açık kaynaklı projelerin yüzde 7,5'i savunmasız olsa da, en popüler 100 açık kaynak projenin yüzde 32'sinde en az bir güvenlik açığı bulunmaktadır.
Bir güvenlik açığı birden fazla kütüphaneyi riske sokmak için yeterliyken, savunmasız bir açık kaynaklı proje ortalama sekiz güvenlik açığı içerir. Bu, en popüler açık kaynaklı projelerin çoğu zaman aynı zamanda güvenlik açıkları yüksek olanları olduğu anlamına gelir.
Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
Hiç kimse yazılım kalitesiyle ilgilenmediğinde programlama becerilerinizi geliştiremezsiniz.
Bu içgörü, en fazla açık kaynaklı güvenlik açığı olan ilk 10 açık kaynaklı proje listesine baktığımızda daha da belirginleşiyor. En iyi 10 listesinde, çoğumuzun kullandığı son derece popüler açık kaynaklı projeler yer alıyor.
Bu projelerin ortak birden fazla özelliği var: Birçoğu internete bakan, geniş saldırı yüzeylerine sahip önden uçlu bileşenlerdir ve bunların kullanımı oldukça kolaydır. Bu nedenle açık kaynaklı güvenlik araştırma topluluğunun dikkatini çok çekiyorlar.
Bu projelerin çoğunun paylaştığı diğer bir husus, çoğunun ticari şirketler tarafından desteklenmesidir. Arkasındaki riskler ve kaynaklar göz önüne alındığında sorulabilir: Bu kadar büyük oyuncular tarafından desteklenen projeler nasıl bu kadar savunmasız olabilir?
Açık Kaynak Güvenlik Açıklarının Vahşi Batısı
Geçmişte, açık kaynaklı güvenlik açıklarının keşfi, açık kaynaklı bileşenlerin kullanım için güvenli olacak kadar iyi korunup korunmadığı konusunda canlı bir tartışma uyandırırdı. Neyse ki, o günler sona erdi ve bugün bildirilen açık kaynaklı güvenlik açıklarındaki artışın açık kaynak topluluğunun ve güvenlik topluluğunun tehdit ortamına ayak uydurmak için ne kadar hızlı tepki verdiğini gösterdiğini biliyoruz.
Açık kaynak topluluğunun katlanarak büyümesi, Heartbleed'in gelişmesine izin verenler gibi, çılgınca popüler olan bileşenlerde bilinen açık kaynak kırılganlıklarının son keşfi ile birlikte, açık kaynak güvenliği konusundaki bilincin artmasına neden oldu ve açık kaynak analizi yapan bir araştırma ordusu güvenlik açıklarının yanı sıra düzeltmeler için hızlı bir geri dönüş projesi.
Aslında, Beyaz Kaynak raporu, bildirilen tüm güvenlik açıklarının yüzde 97'sinin açık kaynak topluluğunda en az bir önerilen düzeltmenin olduğunu ve güvenlik güncelleştirmelerinin bir güvenlik açığının yayınlandığı günlerde yayımlanan günlerde yayımlandığını tespit etti. (Açık kaynak hakkında daha fazla bilgi için Açık Kaynak'a bakın: Gerçek olamayacak kadar iyi mi?)
Açık Kaynak Topluluğu Güvenlik Üstünde - Şimdi Kullanıcıların Yetişmesi Gerekenler
Açık kaynak topluluğunun işbirliği ve açık kaynak güvenliğini artırma çabaları, güvenlik açığı keşfi, ifşa edilmesi ve hızlı düzeltmeler açısından kesin sonuçlar gösteriyor olsa da, açık kaynak topluluğunun merkezileşmemiş doğası nedeniyle kullanıcıların yetişmesi zor.
Geliştiriciler ticari yazılım bileşenleri kullandıklarında, sürüm güncellemeleri, ödedikleri hizmetin bir parçasıdır ve satıcılar, onu gördüğünüzden emin olmak konusunda fazlasıyla baskı yapabilir.
Açık kaynak bu şekilde çalışmaz. Bildirilen açık kaynaklı güvenlik açıklarının yalnızca yüzde 86'sının CVE veritabanında göründüğünü gösteren WhiteSource verileri. Bunun nedeni, açık kaynak topluluğunun işbirlikçi ve merkezi olmayan doğasının, açık kaynak açıkları hakkındaki bilgi ve güncellemelerin yüzlerce kaynakta yayınlanması anlamına gelmesidir. Bu tür bilgilerin, özellikle açık kaynaklı kullanımın hacmini göz önüne aldığımızda, manuel olarak takip edilmesi imkansızdır.
Açık Kaynak Güvenliğinde Nasıl İleriye Gidilir?
Açık kaynaklı güvenlik açıklarındaki tutarlı artış, açık kaynak kullanımının ne kadar yaygın hale geldiğini göz önünde bulundurarak kurumların başa çıkması gereken bir zorluktur. En popüler projeler de dahil olmak üzere çok sayıda açık kaynaklı güvenlik açığı ezici görünebilir, ancak topluluğun açık kaynak güvenliğini yönetme şeklini öğrenmek doğru yönde atılmış bir adımdır.
Bir sonraki adım, açık kaynaklı güvenlik yönetiminin ticari veya tescilli bileşenleri güvenceye almaktan farklı kurallar, araçlar ve uygulamalar ile birlikte geldiğini kabul etmektir. Aynı güvenlik açığı yönetim programlarına ve araçlarına bağlı kalmak, açık kaynaklı güvenlik yönetimine yardımcı olmaz.
Bu farklılıkları gideren bir açık kaynaklı güvenlik politikası benimsemek ve yönetimini otomatikleştirmek için doğru teknolojileri kullanmak, güvenlik ve geliştirme ekiplerinin başa dönerek, büyük yazılım geliştirme işine geri dönmelerine olanak tanıyan açık kaynaklı güvenlik açıklarının benzersiz zorluklarıyla yüzleşmesine yardımcı olacaktır.