Dünya çapındaki kuruluşları etkileyen yaygın yazılımlardaki güvenlik açıklarından hareketle ABD hükümeti, yenilikçi yazılım geliştirme topluluğunu desteklemenin yollarını bulmak için 13 Ocak’ta açık kaynak topluluğu ve büyük yazılım firmalarıyla bir araya geldi ve aynı zamanda olasılığı azalttı. ortak yazılım bileşenlerinde gelecekteki güvenlik kusurlarının
Beyaz Saray Yazılım Güvenliği Zirvesi, ulusal güvenlik ve teknoloji ile ilgilenen çeşitli devlet kurumlarından yetkilileri Akamai, Amazon, Apple, GitHub, Google, Meta, Microsoft ve RedHat dahil olmak üzere büyük yazılım şirketlerinin temsilcilerinin yanı sıra üyeleri bir araya getirdi. Apache Software Foundation ve Linux Foundation gibi açık kaynaklı yazılım topluluğunun
Biden yönetiminden yapılan açıklamada, zirvenin “kod ve açık kaynak paketlerindeki güvenlik kusurlarını ve açıkları önlemenin, kusurları bulma ve düzeltme sürecini iyileştirmenin ve düzeltmelerin dağıtılması ve uygulanması için yanıt süresini kısaltmanın” yollarını bulmayı amaçladığı belirtildi.
Bununla birlikte, tartışmanın merkezinde, açık kaynak topluluklarının yenilikçi gelişiminin, güvenli yazılım oluşturma çabalarını geliştirirken ve güvenlik açıkları karşısında yamayı hızlandırırken nasıl gelişmeye devam edebileceğidir.
“Açık kaynaklı yazılım, kullanım genişliği ve devam eden güvenlik bakımından sorumlu gönüllülerin sayısı nedeniyle benzersiz bir değer getiriyor ve benzersiz güvenlik zorluklarına sahip.” yönetim belirtti. “Katılımcılar, açık kaynak topluluğuyla etkin bir şekilde ilişki kurarken ve onları desteklerken, açık kaynak yazılımının güvenliğinde nasıl bir fark yaratabilecekleri konusunda kapsamlı ve yapıcı bir tartışma yaptılar.”
Zirve, şirketler, kurumsal uygulamalarda yaygın olarak kullanılan Java uygulamaları için Log4j günlük kaydı çerçevesinde önemli bir güvenlik açığı bulmak ve düzeltmek için mücadele etmeye devam ederken gerçekleşti. Yaygın olarak kullanılan bir paket yönetimi deposu olan Maven Central Repository’deki Java uygulamalarının %80’inden fazlası Log4j’ye bağımlıydı – bu, Java uygulamalarının ve bileşenlerinin büyük olasılıkla savunmasız olduğu anlamına gelir. ABD yetkililerine göre, güvenlik açığı henüz büyük bir uzlaşmaya yol açmamış olsa da, sorunun her yerde bulunması nedeniyle düzeltilmesi muhtemelen yıllar alacak.
Yaygın Zararlıların Uzun Tarihi
Yaygın yazılım paketlerindeki güvenlik açığı yeni değil. OpenSSL’deki 2014 Heartbleed güvenlik açığı ve 2018 SPECTER ve Meltdown güvenlik açıkları, her yerde bulunan yazılım ve bellenimde bulunan güvenlik sorunlarının uzun kuyrukları olduğunu gösterdi.
“Dünya, açık kaynağa dayanan yazılımlarla çalışıyor, [which] açık kaynak kodundaki güvenlik açıklarının, ona güvenen milyarlarca geliştirici ve hizmet üzerinde küresel bir dalgalanma etkisine sahip olabileceği anlamına geliyor.” GitHub’ın güvenlik şefi Mike Hanley, zirvede yaptığı açıklamada. “Sadece bir veya iki satırlık güvenlik açığı bulunan kodun tüm sistemlerin sağlığı, güvenliği ve güvenilirliği üzerinde göz açıp kapayıncaya kadar nasıl dramatik bir etkiye sahip olabileceğini gördük.”
Zirve, güvenlik özelliklerini geliştirici araçlarına ve hizmetlerine entegre etmenin yanı sıra paketleri depolamak ve dağıtmak için kullanılan platformların bütünlüğünü sağlamak gibi açık kaynak kodunun güvenliğini artırmak için hükümet ve endüstrinin birlikte çalışmasının yollarını bulmayı amaçladı. İlk çabalar büyük olasılıkla popüler ve kritik açık kaynaklı yazılım projelerinin ve paketlerinin güvenliğini artırmanın ve geliştiricilerin ve şirketlerin bağımlılıklarını takip etmelerini sağlamak için yazılım malzeme listelerinin benimsenmesini hızlandırmanın yollarına odaklanacaktır.
Akamai’nin güvenlik şefi Boaz Gelbord, “Tüm bunlar, açık kaynaklı yazılım kullanımının görünürlüğünü artırmaya yönelik ortak bir çabayla başlıyor” diyor. “Hükümet ve özel sektör kuruluşları, açık kaynak teknolojilerine olan güveni ortaya çıkaran araçlara yatırım yapmalı ve en önemlisi, ekosistemin güvenliğini genel olarak güçlendirmek için riskleri azaltmak ve kontrol altına almak için harekete geçmelidir.”
İcra Direktörü Brian Behlendorf, çabaların, bağımsız açık kaynak geliştirmenin yenilikçi ve standart belirleyen çabalarını sürdürmek ile endüstrinin ve hükümetin güvendiği kritik altyapının parçası olan projeler ve ürünler üzerinde güvenli geliştirme uygulamalarının uygulanması arasında bir denge olacağını söylüyor. Açık Kaynak Güvenlik Vakfı (OpenSSF).
“Tedarik zincirinin başlangıcında, genellikle harika yazılımlara yol açan bir grupta kod yazmanın ham, bazen dağınık, ama aynı zamanda genellikle inanılmaz derecede yenilikçi süreçleri vardır” diyor. “Bu çok değerli ve yukarı akıştaki çekirdek geliştiriciler için hiçbir değer yaratmayan bürokrasi veya gereksinimler tarafından zincire vurulmamalı.”
Ancak OpenSSF, çekirdek geliştiriciden paket yöneticisine ve nihayetinde yazılım bileşenini veya kitaplığını kullanan geliştirme ekiplerine kadar zincirdeki her adıma daha güvenli geliştirme süreçlerinin eklenmesi gerektiğinin farkındadır.
Behlendorf, “Milyonlarca yazılım projesinin ve geliştiricisinin bulunduğu bir dünyada, şimdi önemli olan, bu zincir boyunca eskiden gayri resmi olan, yüksek güvene sahip süreçleri daha titiz, otomatikleştirilebilir araçlar ve uygulamalara dönüştürmeye yardımcı olmaktır” diyor.
Endüstri, kendi yazılım ürünlerinin yanı sıra açık kaynaklı yazılımların güvenliğini sağlamaya şimdiden yatırım yapmaya başladı. Ağustos ayındaki benzer bir zirvede Google ve Microsoft, önümüzdeki beş yıl içinde yazılım güvenliği ve siber güvenlik çabalarına milyarlarca dolar harcama sözü verdi. Örneğin Google, geliştiricilerin ve işletmelerin avantajlardan yararlanabilmesi için korumaları entegre etmek için görünmez bir güvenlik girişimi taahhüt etmiştir ve ayrıca geliştiriciler için araçlar yayınlamak üzere OpenSSF ile birlikte çalışmıştır. Akamai, açık kaynak topluluğunun bunları bulmanın yollarını bulmasına yardımcı olmaya devam etmeyi taahhüt etti. yazılımdaki güvenlik açıklarını tespit edin ve saldırıları içerir, ancak işin daha yeni başladığını kabul etti.
Akamai’den Gelbord, “Bu yürütme emri doğru yönde bir hareket olsa da, açık kaynak topluluğunun sürekli gelişen tehdit ortamımızda gelişmesini desteklemek için daha fazlasının yapılması gerekiyor” diyor.
Geçen yıl, Biden yönetimi, siber güvenlik konusunda geçmiş yönetimlerden daha ayrıntılı olduğu için büyük övgü alan bir icra emri yayınladı. Buna ek olarak, yönetim Ekim ayında, konuyla ilgili uluslararası diplomasiye liderlik etmek için ABD Dışişleri Bakanlığı bünyesinde Siber Uzay ve Dijital Politika Bürosu oluşturacağını duyurdu.