Açık kaynaklı yazılımın tipik kod tabanındaki payı 2021’de %78’e yükseldi, ancak şirketler güncel olmayan ve artık bakımı yapılmayan bileşenleri kullanmaya devam ederek yazılımlarını potansiyel olarak savunmasız bıraktı, yeni bir çalışma gösteriyor.
Yazılım kod tabanlarının büyük çoğunluğu en az bir güvenlik açığı içerir (%81), dört yıldan daha eski olan bir açık kaynak bileşeni kullanır (%85) ve son iki yılda geliştirme yapılmamış bileşenler içerir (88 %), Synopsys’in bu hafta yayınlanan yıllık “Açık Kaynak Yazılım Risk Analizi” (OSSRA) raporuna göre. Bununla birlikte, veri noktalarının çoğu, kod tabanlarının %84’ünün en az bir güvenlik açığına sahip olduğu ve %91’inin önceki iki yılda geliştirme faaliyeti olmadığı geçen yıla göre iyileşme gösteriyor.
Synopsys baş güvenlik stratejisti Tim Mackey, genel olarak, verilerin şirketlerin güvenlik açıklarına karşı yeni ilerlemeye başladıklarını ve daha gidilecek çok yol olduğunu gösteriyor.
“Bütün bu fikir [of] Yazılım tedarik zinciri perspektifinden hareketlerini bir araya getirmeye çalışan insanlar bir dereceye kadar yankı uyandırıyor, ancak henüz büyük şeylerde büyük bir göçük yarattığı bir noktada değil” diyor. bu açık kaynak bileşenleri, “insanlar söylemiyor, kullanacağım [component X,] kullandıkları başka bir kitaplık ile birlikte yolculuk için geliyor.”
bu özet raporu veriler, yalnızca şirketin birleşme ve satın almalar (M&A) sırasında gerçekleşen durum tespiti hizmetinden geldiğinden, yazılım güvenliği ve lisans uyumluluğu durumuna benzersiz bir bakıştır. 2021’de kurumsal devralanlar, özel sermaye şirketleri ve özel amaçlı satın alma şirketleri (SPAC’ler) arasındaki yoğun rekabet nedeniyle birleşme ve satın almaların sayısı %24 arttı, Danışmanlık firması PricewaterhouseCoopers’a göre. Artan aktivite, tarama kod tabanlarında bir artışa yol açtı. Rapora göre Synopsys, %64’lük bir büyüme ile 17 sektörde 2.400’den fazla ticari kod tabanını taradı.
Raporda, genel olarak, şirketin denetlenen kod tabanlarındaki yüksek riskli güvenlik açıklarının sayısını azaltmada iyileştirmeler kaydettiği ve ilk 10 yüksek riskli güvenlik açığının yaygınlığında önemli bir azalma olduğu belirtildi. Örneğin 2020 verilerinde, kod tabanlarının %29’unda en yaygın güvenlik açığını açığa çıkaran bileşenler bulunurken, bu yılki rapordaki 2021 verileri, kod tabanlarının yalnızca %8’inde en yaygın yüksek riskli güvenlik açığını belirledi.
Raporda, “Tekrarlayan tüm yüksek riskli güvenlik açıklarında önemli düşüşler görüldü” deniliyor. “Yüksek riskli güvenlik açıklarının hızlı tanımlanması, önceliklendirilmesi ve azaltılması, ekiplerin kuruluşları için en büyük tehdidi oluşturan riskleri ele almasına yardımcı olabilir.”
Açık Kaynağın Kalıcı Yayılımı
İyileştirmeler, şirketler açık kaynaklı yazılım kullanımlarını derinleştirmeye devam ettikçe ortaya çıkıyor. 2019’da açık kaynak, Synopsys tarafından denetlenen kod tabanlarının %70’ini oluşturuyordu ve geçen yıl %75’e yükseldi. Şimdi %78 ile bir şirketin yazılımının güvenliği, büyük ölçüde geliştirme ekipleri tarafından kullanılan açık kaynak bileşenlerinin durumuna bağlıdır.
Yine de açık kaynaklı yazılım projelerinin kalitesi, özellikle güvenlik söz konusu olduğunda, dengesiz olmaya devam ediyor. Örneğin, yazılım projelerinin neredeyse dörtte biri (%23), kodun büyük kısmına katkıda bulunan tek bir geliştiriciye sahip ve rapora göre, kitaplığı kendi yazılımlarının bir bileşeni olarak kullanan şirketler için potansiyel olarak risk oluşturuyor.
Ne yazık ki şirketler, açık kaynak bileşenlerinden ve bağımlılıklarından kaynaklanan en önemli riskleri ortadan kaldıramadı. Kod tabanlarının %88’i eski sürümler (henüz uygulanmamış bir güncellemesi olan bileşenler) içerdiğinden, kuruluşların geliştirmede kullandıkları yazılımları ve projeleri bir yazılım malzeme listesi (SBOM) ile izlemeleri gerekir.
Daha Fazla SBOM Yolda mı?
Mackey, önümüzdeki bir veya iki yıl içinde SBOM’ların çok daha yaygın hale geleceğini, ancak bunun yine de sorunu çözmeyeceğini söylüyor.
“Daha büyük sorun, çoğu insanın ne yapacağını bilmemesidir. [the SBOM]” diyor. “Kimsenin okumadığı ve bu konuda ne yapacaklarını bilemedikleri lisans sözleşmesinin yanında yer alan başka bir belge, ancak onunla ilişkili sihirli bir vudu olduğunu duymuşlar, bu yüzden istiyorlar. , ancak onu kullanmak için bir süreç oluşturmadılar.”
Şirketler, yazılımları tarafından kullanılan bileşenleri analiz etme konusunda daha iyi hale geldikçe, birçok lisans sorununu da bulup düzelteceklerdir. Her türlü açık kaynak lisansı mevcut olduğundan, işletmelerin kendi geliştirmelerinde hangi yazılımları içerdiklerine dikkat etmeleri gerekir. Şu anda, denetlenen kod tabanlarının yarısından fazlasının (%53) lisans çakışmaları var ve %20’si lisanssız veya standart olmayan lisanslı açık kaynak içeriyor.
Synopsys raporuna göre, “Ayırt edilebilir bir lisansa veya özelleştirilmiş bir lisansa sahip olmayan açık kaynaklı bileşenler içeren kod tabanları, ek bir risk katmanına sahiptir.”