Linux Vakfı ve Harvard’ın İnovasyon Bilimi Laboratuvarı bu hafta, İnternet’in, uygulamaların ve cihaz donanım yazılımının çoğunun dayandığı kritik yazılım bileşenlerini kataloglamaya yönelik ilk adımda iki büyük ekosistemdeki en iyi 500 açık kaynak projesinin sıralamasını yayınladı.
Census II of Free and Open Source Software – Application Libraries olarak adlandırılan yaygın yazılım bileşenlerinin listeleri, JavaScript odaklı Düğüm Paket Yöneticisi (NPM) ekosistemindeki ilk 500 paketi ve aşağıdakiler dahil NPM olmayan ekosistemlerdeki ilk 500 bileşeni sıraladı. Java odaklı Maven deposu, Python Paket Dizini (PyPI) ve .NET odaklı NuGet paket deposu. Linux Vakfı ve Harvard, paketlerin doğrudan mı yoksa dolaylı olarak mı içe aktarıldığına ve analizin her bir sürümü ayrı ayrı sayıp saymadığına bağlı olarak her ekosistem için dört farklı liste oluşturdu.
Harvard Business School’da işletme bölümünde yardımcı doçent olan Frank Nagle, nüfus sayımının, halka açık veri havuzu verilerine ek olarak, şirketler tarafından uygulamalarında yaygın olarak hangi yazılım bileşenlerini kullandığı hakkında bilgi edinmek için üç yazılım bileşimi analiz firmasından alınan telemetriyi kullandığını söylüyor. Nüfus Sayımı II raporunun beş yazarı.
“Açık kaynaklı yazılımın güvenliğini sağlamak için nasıl yatırım yapacağımıza biraz daha bilim getirmek istiyoruz” diyor. “Bu liste hiçbir şekilde mükemmel değil – açık kaynağın her şeyin başı değil, aynı zamanda binlerce şirkette açık kaynak kullanımına dayanan bir şey.”
Uygulamalara dahil edilen açık kaynak ve ticari yazılımın güvenliğini sağlamak, bu yıl ABD hükümeti ve işletmeleri için önemli bir sorun haline geldi. Açık kaynaklı yazılım genellikle Web ve bulut uygulamalarındaki kodun %70 ila %90’ını oluşturur – uygulama güvenliği firması Synopsys, hizmeti kullanılarak analiz edilen uygulamaların %98’inin açık kaynaklı yazılım içerdiğini ve ortalama kod tabanının %75’inin açık kaynak projelerinden geldiğini tespit etti. Şirket, ortalama yazılım uygulamasının 500’den fazla açık kaynak bağımlılığına dayandığını söyledi.
Biden’ın Yazılım Güvenliği Emri
Ocak ayında, şirketler Log4j bileşeninden etkilenen uygulamaları bulup yamalamakta zorlanırken, Beyaz Saray, kamu ve özel sektörü açık kaynaklı yazılımları güvence altına almaya daha fazla kaynak yatırmaya yönlendirmek için bir yazılım zirvesi düzenledi. Microsoft ve Google tarafından yönetilen bir dizi teknoloji şirketi, kritik yazılım bileşenlerini belirlemek ve güvenlik eğitimini, ek geliştiricileri ve OpenSSF’nin Alpha-Omega’sının bir parçası olmak üzere uygulama testlerini finanse etmek için Açık Kaynak Güvenlik Vakfı’na (OpenSSF) para yatırdı. Proje.
Census II projesi, eski sürümleri kullanan yaygın açık kaynak projeleri, çok çalışan geliştiriciler tarafından sağlanan popüler bileşenler ve yavaş güvenlik açığı düzeltme sürelerine sahip ortak bileşenler bulmayı amaçlıyor.
“[T]Burada, sadeliği veya boyutu modern ekonomi için hayati önemlerini gizleyebilecek bütünleyici FOSS projeleri olabilir.” raporda belirtilen. “Böylece, genel hedef [of the project] bu altyapıyı güçlendirmek ve sistemik güvenlik açıklarına karşı korumaktır.”
Nagle, projenin amacının açık kaynaklı yazılım kullanımı hakkında üç gruba daha fazla veri vermek olduğunu söylüyor. İlk grup – devlet kurumları ve açık kaynak güvenlik kuruluşları – Biden yönetiminin yazılım güvenliği konusundaki yürütme emri gibi kamu girişimleri ve OpenSSF gibi özel çabalar tarafından tahsis edilen fonların nereye yatırılacağını belirlemek için verilere ihtiyaç duyuyor. . Bu arada, şirketlerin gelecekte uygulamalarında hangi yazılım bileşenlerini kullanacaklarını belirlemek için bilgiye ihtiyaçları olduğunu söylüyor.
Nagle, “Şirketler hangi kodu kullandıklarını ve hangi koda güvendiklerini düşündüklerinde, genellikle yalnızca geliştiricilerinin doğrudan ürünlerine hangi paketleri koyduğunu düşünürler” diyor. “Ancak, tüm bu bağımlılık katmanlarına ve katmanlarına sahibiz. … Hangi yazılımı kullandığınızı ve neye güvendiğinizi düşündüğünüzde, bu en yüksek seviye, buzdağının görünen kısmı olamaz; bundan daha derine inin.”
Son olarak, en iyi 500 liste, kodlarının beklediklerinden çok daha fazla kullanıcıyı etkilediğini açık kaynaklı proje yürütücülerine bir bildirim olabilir, diyor.
“Bireysel geliştiriciler genellikle bilmiyorlar – genellikle paketlerinin ne kadar yaygın olduğunu bilmiyorlar” diyor.
Linux Vakfı Girişiminin İkinci Aşaması
Census II projesi, en kritik açık kaynaklı yazılımı bulma çabasının bir uzantısıdır. 2015 yılında, Linux Vakfı’nın Çekirdek Altyapı Girişimi, Debian Linux dağıtımını araştırmak ve çekirdek işletim sisteminin çalışması ve güvenliği için en kritik olan bileşenleri belirlemek için ilk Sayım Projesini veya Sayım I’i tamamladı. Census II, daha fazla veri ile bunu çarpıcı biçimde genişletiyor, Linux Vakfı’nın Açık Kaynak Güvenlik Vakfı’nın (OpenSSF) yönetici direktörü Brian Behlendorf, duyuruda söyledi.
“Toplumda en yaygın olarak hangi FOSS paketlerinin kullanıldığını anlamak, operasyonları ve güvenlik desteğini garanti eden kritik projelere proaktif olarak katılmamızı sağlıyor” dedi. “Açık kaynaklı yazılım, bankacılık kurumlarımızdan okullarımıza ve iş yerlerimize kadar günlük hayatımızın üzerinde çalıştığı temeldir. Census II, dünyanın en kritik ve değerli altyapısını desteklemek için ihtiyaç duyduğumuz temel ayrıntıları sağlar.”