Ünlü yönetim danışmanı Peter Drucker’a atfedilen, sık sık alıntılanan bir bilgelik “Ölçemediğiniz şeyi geliştiremezsiniz”.
Habere göre, o söylememiş olsa bile, sözün temel gerçeğini reddetmek zor. Drucker Enstitüsü. Sonuçta, üç aylık satışlardan bireysel KPI’lara kadar olan ölçümler, 21. yüzyıl kuruluşlarında ücretlendirme, promosyonlar ve daha fazlası için temel oluşturur. Ayrıca bol miktarda kanıt var – biri için BF Skinner’dan — insanların davranışlarını nasıl ölçüldüklerine ve teşvik edildiklerine göre hızla uyarlamaları.
Sorulmayan soru, doğru şeylerin ölçülüp ölçülmediği veya söz konusu ölçümlerin, ölçümü yapanların algılarını (ve kararlarını) çarpıtmayacak kadar eksiksiz olup olmadığıdır. Bu tür uygunsuz sorular, kurucu ortağı olduğum firma ReversingLabs’ın sponsorluğunda yürütülen ve altı aylık raporları analiz eden araştırmaları bilgilendirdi. Ulusal Güvenlik Açığı Veritabanı (NVD)
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından sürdürülür.
2022: CVE’ler için Afiş Yılı
Analizimiz, NVD’ye yönelik yeni Ortak Güvenlik Açıkları ve Maruz Kalmalara (CVE’ler) ilişkin güvenlik açığı raporlarının hızlandığını ve 2022’nin yeni güvenlik açığı raporları için şimdiye kadarki en büyük yıl olma yolunda olduğunu buldu. Mevcut eğilim devam ederse, yıl sonuna kadar 24.500’den fazla rapor olacak. Bu, aynı zamanda rekor kıran bir yıl olan 2021’e göre %22’lik bir artışa işaret edecek.
Bu rakamlar, yazılım güvenliğinin kötüleştiğini ve yazılım güvenliğini desteklemek için kamu ve özel sektör tarafından daha güçlü müdahalelere ihtiyaç duyulduğunu gösteriyor. Ama bu hızlı çekimde kaçırılan çok şey var. NVD, yirmi yıllık varlığı boyunca, bildirilen güvenlik açıklarının ve risklerin sayısında tutarsız bir büyüme gördü. 2005’ten önce, bir CVE tanımlayıcısına atanan yıllık güvenlik açığı sayısı hiçbir zaman 2.500’ü aşamazdı. Bundan sonraki on yıldan fazla bir süre boyunca, açıklanan sorunlar yılda 4.000 ila 8.000 rapor arasında dalgalandı.
O yıllardaki yeni CVE’lerin sayısı, kar amacı gütmeyen kuruluş MITRE’de bulunan ve yeni CVE raporlarını almak ve belgelemekle görevli CVE ekibinin sınırlı kapasitesini yansıtıyordu. MITRE, 2016 yılında güvenlik açıklarını CVE Numara Yetkilileri (CNA’lar) olarak bildirmeye davet etmeye başladığında, güvenlik açıklarının sayısının arttığını biliyoruz. 2017’de ikiye katlandı ve o zamandan beri her yıl bir önceki yılın bildirilen CVE rekorunu aştı.
Mesaj: Yazılım güvenliğinin genel durumunu değerlendirmeye çalışıyorsanız, yeni CVE’lerin sayısı gibi bir metriği düşünmek çoğunlukla anlamsız bir alıştırmadır. Daha fazla katkıda bulunan firma daha fazla CVE ile sonuçlanacaktır. Daha az katkıda bulunan firma, CVE’lerde bir düşüşe neden olacaktır. Genel eğilim çizgisi anlamsızdır – en azından CVE programına katılım ve yazılım satıcıları tarafından NVD’ye yapılan gönderimler gönüllü olduğu sürece.
Yazılım Tedarik Zinciri Güvenliği: Ölçülmemiş ve İyileştirilmemiş
Doğru şeylerin ölçülüp ölçülmediği sorusuna gelince? Burada da, NVD’nin mevcut konfigürasyonu yanıltıcıdır ve “olağan şüpheliler”e doğru ağır bir şekilde çarpıktır. Araştırmamız, 2022’nin ilk yarısında Linux dağıtımları Fedora ve Debian’ın sırasıyla 1.123 ve 958 güvenlik açığı oluşturduğunu ve bildirilen sorunlardan etkilenen yazılım firmaları listesinde birinci ve üçüncü sırada yer aldığını ortaya koydu. Google, Microsoft, Oracle ve Apple, her biri 500’den fazla güvenlik açığından sorumluydu.
NVD, karmaşık siber aktörlerin dikkatini çeken popüler açık kaynak platformlarındaki kusurlar hakkında çok daha az şey söylüyor. Örneğin, araştırmamız, popüler yazılım paketi havuzları NPM ve Python Paket Endeksi’ne (PyPI) yönelik saldırıların son birkaç yılda %289 artarak 2018’de 259’dan 2021’de 1.010’a yükseldiğini gösteriyor. Ancak sadece 56 CVE
PyPI’ye atıfta bulunmak NVD’dedir. PyPi’nin sahibi Python Yazılım Vakfı, bir CNA değildir. CodeCov, CircleCI ve Bamboo gibi diğer popüler geliştirme ve CI/CD platformları da aynı şekilde CNA’lar değildir.
Rahatsız Edici Soru: Kodlara Güvenebilir miyiz?
Bu kopukluk NVD gibi kamu kaynaklarının geleceği için ne anlama geliyor? Bir şey için değişin. Son olaylar — örneğin popüler ua-parser-js’nin ele geçirilmesi bir kripto madenci tarafından proje – görünüşte güvenli projelerin bile tehlikeye atılabileceğini gösterin.
Bunun gibi olaylardan alınacak ders, yazılım güvenlik ekiplerinin odaklarını, kodun ne yaptığına bakmak için güvenlik açığı taramasının ve hatta kaynak kodu analizinin ötesine genişletmeleri gerektiğidir. Bu temel soruyu görmezden geldiğimiz sürece – koda güvenebilir miyiz? — yazılım tedarik zinciri güvenliğini ele almıyoruz.
NIST ve federal hükümet de Beyaz Saray’ın bir yıllık kararını uygulamak için yavaş yavaş ilerliyor. ülkenin siber güvenliğinin iyileştirilmesine ilişkin yürütme emri, bu, tüm federal hükümet yüklenicilerinin ve yazılım sağlayıcılarının gözden geçirilebilecek bir yazılım malzeme listesi (SBOM) oluşturmasını gerektirir. NSA, CISA ve ODNI tarafından yakın zamanda yayınlanan uygulama kılavuzları kuruluşların yazılım tedarik zincirlerini güvence altına almak için atabilecekleri adımları açıklayın.
Ancak bu büyük değişikliklere ayak uydurmak için NVD’nin de gelişmesi gerekiyor. En azından kapsamı, yazılım tedarik zinciri risklerini sürekli olarak içerecek şekilde genişletilmelidir. Ancak o zaman NVD, modern kuruluşların karşı karşıya olduğu tüm tehditleri temsil etmeye daha da yaklaşacaktır.