Kuruluşlar giderek daha fazla açık kaynak koduna güveniyor. Birçoğu, kendi kodlarını geliştirmek için zaman alan bir süreç olmadan hizmetleri hızlı bir şekilde yenilemek veya hızlandırmak için açık kaynak kodunu kullanmanın rahatlığını yaşar, ancak bir nokta var: Açık kaynak kodu, kuruluşlar için bir güvenlik kabusuna dönüşebilir.
2022 arifesinde, sıfır gün güvenlik açığı – Log4j – tehdit aktörleri tarafından istismar edildi ve kuruluşların yazılımlarını ve Web uygulamalarını, iş açısından kritik verileriyle birlikte artan bir risk altına soktu. Bu saldırıyı bu kadar kapsamlı yapan şey, güvenlik açığının yaygın olarak kullanılan açık kaynak kodundan kaynaklanmasıydı.
Bu, daha geniş bir soruna işaret ediyor – tehdit aktörleri, kötü niyetli amaçlar için açık kaynağı bozmaya güveniyor. Genellikle, Log4j ve aşağıdaki gibi diğer yazılımlar söz konusu olduğunda EspoCRM, Pimcore ve Akaunting, bu kodla ilişkili doğal güvenlik açıklarından faydalanabilir ve algılanmadan kalabilirler. Bir endüstri olarak, genellikle açık kaynak kodlu güvenlik açıklarının tespit edilmesinin kolay olacağına dair bir inanç vardır, ancak durum böyle değil – Log4j 2013’te üretime girdi ve çok geç olana kadar hiç kimse herhangi bir sorunu fark etmedi.
Açık Kaynak iki ucu keskin bir kılıçtır
Açık kaynak kodu, kuruluşlar için harika bir kaynak olabilir. Özünde, ekiplerin geliştirme süresini kısaltmasını sağlayan kullanıma hazır bir yazılımdır. Bu, inovasyonu hızlandırır ve geliştiricilerin nispeten hızlı bir şekilde ayağa kalkıp yazılımı dağıtmalarını sağlar. Ek olarak, bu kod, zamanlarını gönüllü olarak harcayan bir geliştiriciler topluluğu tarafından desteklenir. Bu, geliştiriciye herhangi bir ücret yansıtılmadan yeni özelliklerin yayınlanabileceği ve hataların topluluk tarafından düzeltilebileceği anlamına gelir. Bu olağanüstü fayda ayrıca güvenlik riski olarak karşımıza çıkmaktadır.
Açık kaynak kodunu kullanmanın sayısız faydası olsa da, kullanımıyla ilgili riskler de vardır. Örneğin, açık kaynak yalnızca topluluk katılımına dayalı olarak geliştirilebilir. Topluluk projeye olan ilgisini kaybederse veya kilit kişiler başka bir projede çalışmak üzere çağrılırsa, geliştirme durur. Ek olarak, geliştiriciler bunları bulup düzeltmenin topluluğun sorumluluğunda olduğunu varsaydıklarından hatalar gözden kaçabilir. Birçok el genellikle hafif işler yapsa da, bu, tutarlı bir ürün sağlamak için net süreçlere sahip olmayan grup çalışmalarında yaygın bir sorundur.
Ayrıca, açık kaynak söz konusu olduğunda kuruluşların attığını gördüğüm çok yaygın bir yanlış adım var. Birçoğu açık kaynak koduna güvenirken, kodu kendilerine ait olarak görmezler ve genellikle kendi yerel olarak oluşturulmuş kodlarına uygulayacakları güvenlik kontrollerini uygulamazlar. Bu, açık kaynak kitaplıklarının genellikle güvenlik testlerinden ve kod incelemelerinden kaçtığı anlamına gelir; bu da, hataların ve güvenlik kusurlarının temel düzeyde bir ürüne dönüştürülebileceği bir ortam yaratır.
Açık Kaynak Kodunu Güvenli Hale Getirmek İçin Bir Araya Gelin
Bir endüstri olarak, açık kaynak kodumuzu tehdit aktörlerinden daha iyi korumak için alabileceğimiz önlemler var. Başlamak için, bir kod tarama aracı kullanıyorsanız, kullandığınız tüm açık kaynak kitaplıklarını tarayın. Ayrıca geliştiricileri projeye katkıda bulunmaya teşvik ederim. Yeterli sayıda insan dahil olursa, proje sahipleri bu güvenlik adımlarını kendileri başlatabilir. Ek olarak, kullanmadan önce projenin hangi güvenlik adımlarını izlediğini her zaman kontrol ettiğinizden emin olun.
Güvenliğin önceden yerleşik olduğundan emin olmak, potansiyel güvenlik açığı boşluklarının kapatılmasını sağlamaya yardımcı olur ve açık kaynağa güvenen sektördeki meslektaşlarınıza yardımcı olma avantajına sahiptir.
Saldırgan Merkezli Davranış Analitiği ile Açık Kaynak Endişelerini Ele Alın
Açık kaynak kodu ve ilgili güvenlik açıkları yakın zamanda ortadan kalkmayacak. Devlet kurumları, örneğin, Federal Ticaret Komisyonu, açık kaynakla ilgili güvenlik açıklarını azaltmak için rehberlik sağladılar, ancak kuruluşların herhangi bir tehdidi daha da azaltmak için atabilecekleri ek adımlar var.
Güvenlik açıkları kodunuzda zaten mevcut olabilir ve kuruluşlar bu açıkları bulmak ve yönetmek için yalnızca güvenlik ekiplerine güvenemez. Koruma, kendi mühendislik ekiplerinin incelemesiyle başlar. Ayrıca, kuruluşunuzu bu doğal güvenlik açıklarından koruyacak ve verilerinizden yararlanma girişimlerini engelleyecek bir çözüm kullanmak önemlidir. Saldırgan merkezli davranış analitiğinden yararlanmak, kuruluşunuzun bu tehditleri azaltmasına yardımcı olmak için hayati önem taşır.
Saldırılar çeşitli şekillerde başlatılabildiğinden, imza tabanlı savunmalar genellikle kuruluşunuzu Log4j gibi açıklardan korumada başarısız olur. Zaman içinde şüpheli davranışların izlenmesi ve tespit edilmesi, kuruluşunuzun daha güçlü bir savunma oluşturabilmesi için çeşitli saldırı modellerinin belirlenmesine yardımcı olacaktır.
Son iki yıl herhangi bir gösterge ise, kuruluşların artan siber saldırılara karşı tetikte olmaları gerekir. 2022’de, kodunuzu temel düzeyde güvenceye almaya başlamanızı ve birlikte, fazlasıyla güvendiğimiz her yerde bulunan açık kaynak kodumuzu güvence altına almak için çalışmanızı tavsiye ediyorum.