Son on yılda, açık kaynaklı yazılım, birçok şirketin teknoloji yığınlarının kritik bir bileşeni haline geldi. Bulut bilişim ve yapay zekanın (AI) yaygınlaşması bu eğilimi hızlandırarak Kubernetes, TensorFlow, Jenkins ve OpenCV gibi açık kaynaklı projeleri hem geliştiriciler hem de altyapı ekipleri için daha çekici hale getirdi.
Güvenlik operasyonları da bir istisna değildir. Açık kaynaklı yazılım, siber güvenlik mühendisliği ve operasyonlarında kendine yer bulmuştur. Snort, OpenSSL, Yara, Wireshark vb. genellikle kuruluşların güvenlik araçları cephaneliğinde bulunur. Açık kaynak artık güvenlik operasyonları için temeldir ve açık kaynak araçlarını oluşturmak, desteklemek ve kullanmak InfoSec kültürünün ayrılmaz bir parçasıdır.
Siber güvenlik altyapısı ve uygulamalarında açık kaynaklı yazılımların yaygınlaşmasını daha iyi izlemek için Atlantic Bridge’den Andrew Smyth ve ben Açık Kaynak Güvenlik Endeksi geliştiricilerin ve güvenlik mühendislerinin en iyi açık kaynak güvenlik teknolojisini bulması ve belirlemesi için ücretsiz bir kaynak olarak. Dizin, GitHub’daki en popüler ve en hızlı büyüyen 100 güvenlik projesini listeler. vurguluyoruz hızlı büyüyen çünkü modern güvenlik operasyonlarının, çoğu dağıtımın şirket içinde gerçekleştiği geçmişteki güvenlikten farklı olduğuna inanıyoruz. Bu nedenle, hızla büyüyen OSS projelerinin çoğu, modern altyapı ortamları için tasarlanmış daha yeni girişimlerdir.
Bu dizini oluşturmak için, etiketleri ve konuları temel alan projeleri çekmek için GitHub API’sini kullanıyoruz ve etiketleri olmayan projeleri manuel olarak ekledik. Kapsamımızı sınırlamak için, aramayı doğrudan güvenlik araçları olarak kabul edilen projelerle sınırladık. Terraform, Elastic, Istio ve Envoy gibi güvenlik etkileri olan ancak daha çok altyapı yeteneklerine girenler buraya dahil edilmemiştir.
Girişleri Nasıl Sıraladık?
Ham listeyi aldıktan sonra girişleri, GitHub’dan alınan altı metriğin ağırlıklı ortalaması olan “Dizin Puanı”na göre sıraladık. Onlar içerir:
- Yıldız sayısı: %30
- Katkıda bulunanların sayısı (botlar ve anonim hesaplar hariç): %25
- Projenin son 12 ayda aldığı taahhüt sayısı: %25
- İzleyici sayısı: %10
- İzleyici sayısındaki son bir aydaki değişim: %5
- Çatal sayısı: %5
Bu puanlama metodolojisine dayanarak, dünyadaki en iyi 100 GitHub projesini listeliyoruz. Açık Kaynak Güvenlik Endeksi İnternet sitesi. Endeks gelişen, canlı bir projedir. Listeyi güncel tutmak için verileri aylık olarak yenileyeceğiz.
İlk 25 listesinde Metasploit, Wireshark ve OS Query gibi tanıdık araçlar bulunurken, özellikle modern ve bulut tabanlı altyapı için tasarlanmış Cilium, Checkov ve Calico gibi görece yeni giriş yapanlar da var.
İlk 25 listesine bakıldığında, birkaç ilginç trend ortaya çıkıyor. Bunlar:
- Attack ve red-team açık kaynak araçları popüler olmaya devam ediyor: Etkili saldırı ve test araçları sağlayan projeler, listede belirgin bir şekilde konumlandırılır. Metasploit, OSS Fuzz, Atomic Red Team ve Zap birkaç örnektir.
- Modern altyapı için güvenlik popülerlik kazanıyor: Geleneksel güvenlik araçlarının aksine Cilium, Trivy, Calico ve Sysdig gibi projeler giderek daha popüler hale geliyor. Bu projeler, Kubernet’ler, kapsayıcılar ve mikro hizmetler gibi daha yeni, bulutta yerel altyapıyla çalışacak şekilde tasarlanmıştır. Bu projelerin en popülerler arasında yer alması, bulut bilişimin artık güvenlik operasyonları ile ana akım olduğunu gösteriyor.
- Otomasyon ve “kod olarak” iş akışı yardımcı programları ortaya çıktı: Otomasyon ve “kod olarak” iş akışlarını etkinleştiren projelerin de üst sıralarda yer aldığını belirtmekte fayda var. Örneğin, kod olarak güvenlik açığı yönetimine odaklanan bir proje olan Nuclei, hata araştırmacıları, kırmızı ekipler ve savunucular tarafından kullanılan ve hızla büyüyen bir projedir. Sigma, saldırı tespit yöntemlerinin otomasyonunu ve paylaşımını sağlayan bir diğer projedir.
Açık kaynak güvenliğinin (OSS) evriminin, OSS modellerini benimsemede kurumsal altyapı ile aynı yolu izleyeceğine inanıyoruz. Artan sayıda güvenlik uygulayıcısı, genişletilebilirliği, esnekliği ve uygulamanın şeffaflığı nedeniyle açık kaynağı temel bir strateji olarak seçiyor. Ek olarak, gelişmiş güvenlik ekipleri, güvenlik politikalarını ve operasyonlarını yönetmenin “kod” yönetmek gibi olduğu “sola kaydırma” zihniyetini benimsemiştir. Bu amaçla, bir açık kaynak stratejisi, tescilli yazılım eserlerini geliştirmenin ve dağıtmanın geleneksel yöntemiyle karşılaştırıldığında açık bir avantaj sağlar.
Bu dizini, açık kaynaklı güvenlik projelerinin iyi, temsili bir listesini bulmakta zorlandığımız için oluşturduk. Kusursuz olmasına rağmen, bu dizin, güvenlik uygulayıcılarının göz önünde bulundurması için anlamlı açık kaynak araçlarının yapılandırılmış ve kapsamlı bir listesini oluşturmak için bir başlangıç noktasını temsil eder. Bu listeyi oluşturmak için birçok açık kaynak oluşturucuyla çalıştık ve şu adresten geri bildirim almaktan memnuniyet duyarız: @OSecurityIndex.