Büyük açık kaynak projelerini düşündüğünüzde, kesinlikle Linux, Apache web sunucusu, LibreOffice vb. Ve doğru, bu projeler hayati önem taşıyor. Ancak bunların altında, yüz binlerce başka programın çalışmasına izin veren temel yazılım kitaplıkları bulunur.
Çok daha az bilinirler. Bu yüzden Harvard İnovasyon Bilimi Laboratuvarı (LISH) veAçık Kaynak Güvenlik Vakfı (OpenSSF) arasında Linux Vakfı son zamanlarda kapsamlı bir anket yaptı, Ücretsiz ve Açık Kaynak Yazılım Sayımı II – Uygulama Kitaplıklarıbu gizli kritik programlarda.
Bu, bu türdeki ikinci çalışmadır. İlki, “Çekirdek Güvenlik Açıkları, Ön Rapor ve Özgür Yazılım Sayımı II, alt düzey kritik işletim sistemi kitaplıkları ve yardımcı programlarına odaklandı. Bu yeni rapor, binlerce kuruluşta üretim uygulamalarında kullanılan ücretsiz ve açık kaynaklı yazılım (FOSS) kitaplıklarının yarım milyondan fazla gözleminden elde edilen verileri bir araya getiriyor.
Log4Shell örneği
Bu rapordaki veriler, binlerce şirketin kod tabanlarının yazılım kompozisyon analizinden (SCA) gelmektedir. Bu veriler tarafından sağlanan Snyk, Özet Siber Güvenlik Araştırma Merkezi (CyRC) ve FOSSA.
Amaç, yalnızca en popüler açık kaynak uygulama kitaplıklarının, paketlerinin ve bileşenlerinin ne olduğunu bilmek istemenin yanı sıra, bu projelerin güvenliğini sağlamaya yardımcı olmaktır. Önemli olduğunu anlayana kadar, önce neyi güvence altına alacağınızı bilemezsiniz.
Örneğin, daha önce nispeten bilinmeyen log4j günlük kaydı paketi, sıfır gün hatası oluştuğunda büyük bir güvenlik sorunu haline geldi. Log4Shell ortaya çıkarılmıştır. ABD İç Güvenlik Bakanlığı’nda (DHS) Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) direktörü Jen Easterly, bunu “on yıllar boyunca gördüğüm en ciddi güvenlik açığı. kariyer” olarak nitelendirdi. Bu hata etkilendi on veya yüz milyonlarca cihaz ve program.
FOSSA’nın kurucusu ve genel müdürü Kevin Wang, özgür yazılımın her yerde bulunan doğasının, Log4Shell gibi ciddi güvenlik açıklarının yıkıcı bir etkisi olabileceği anlamına geldiğini gözlemliyor. Tedarik zinciri tehditlerine karşı kapsamlı bir savunma oluşturmak, güçlü bir yazılım görünürlüğü oluşturmakla başlar.” Yalnızca “özgür yazılım bağımlılıklarımızı anlayarak, şeffaflığı ve yazılım tedarik zincirine olan güveni artırabiliriz.”
Linux Vakfı Projelerden Sorumlu Kıdemli Başkan Yardımcısı Mike Dolan, “Hangi FOSS paketlerinin toplum için en kritik olduğunu anlamak, operasyonel ve güvenlik desteğini hak eden projeleri proaktif olarak desteklememizi sağlıyor. Özgür yazılım, günlük hayatımızın üzerinde çalıştığı temeldir, bankacılık kurumlarımızdan okullarımıza ve iş yerlerimize kadar.”
Bu nüfus sayımı, en çok kullanılan 500 ücretsiz yazılım paketini sekiz farklı alana bölüyor. Bunlar, sürümlü/sürüm agnostiği, npm/npm olmayan paket yöneticisi ve doğrudan/dolaylı ve dolaylı paket çağrıları dahil olmak üzere farklı veri dilimleridir. Örneğin, sürümden en bağımsız 10 JavaScript paketi npm doğrudan çağrılanlar şunlardır:
- lodash
- tepki
- aksiyolar
- hata ayıklama
- @babel/çekirdek
- ifade etmek
- ekmek
- kullanıcı kimliği
- tepki-dom
- jquery
Bu kütüphaneler, diğer büyük kütüphanelerle birlikte herhangi bir güvenlik sorunu için yakından izlenmelidir.
Harvard Üniversitesi’nden anketin yazarları, basit sıralamalarına ek olarak beş genel bulguya ulaştılar:
1) Yazılım bileşenleri için standartlaştırılmış bir adlandırma şeması oluşturmak gereklidir. Mevcut haliyle, isimler rastgele değil, ama bunun için pek bir kafiye ya da sebep de yok.
2) Paket sürümlerinin karmaşıklığını basitleştirmemiz gerekiyor. Bir paketin hangi sürüm olduğunu bir bakışta söyleyebilir misiniz? Bu program üzerinde çalışıyorsanız yapabilirsiniz, ancak onu yalnızca üst düzey yazılımınızda bir tuğla olarak kullanıyorsanız, bu bir gizem olabilir.
3) En popüler özgür yazılımlar yalnızca bir avuç katılımcı tarafından geliştirilir. herkes biliyor Nebraska’da tek bir geliştiriciye bağlı olan dev bir yazılım yığınının XKCD karikatürü. Bütün bunlar hakkında üzücü ve komik olan şey, bunun bir şaka olmaması. Her zaman tek bir programcıya bağlı olan koda güveniriz.
4) Bireysel geliştirici hesaplarının güvenliğini artırmak artık zorunlu hale geliyor. Geliştiricilere yönelik hacker saldırılarının daha sık hale gelmesiyle, hesaplarını geliştirmenin baş tacı gibi korumamız gerekiyor.
5) Açık kaynak alanındaki eski yazılımlar temizlenmelidir. Genellikle eski yazılımları, hala Windows XP’yi kullanan hepimizin tanıdığı kişi olarak düşünürüz. Ancak eski ve bozuk kodlar aynı zamanda özgür yazılım havuzlarında da bulunur.
Bununla birlikte, bu anket faydalı olsa da, iş bitmiş olmaktan çok uzak. Daha önemli ve sürekli çalışmalar yapılmalıdır. Bu rapordaki tüm katılımcılar başka bir çalışma üzerinde çalışmayı planlıyor. Bilgi altyapımızın bu kritik sütunlarını daha iyi anlamak için daha kapsamlı çalışmaların sadece habercisidir.
Kaynak: “ZDNet.com”