Uzmanlar, açık kaynak bileşenlerinin güvenliğini ölçmekle ilgilenen geliştiricilerin çok sayıda seçeneğe sahip olduğunu, ancak yine de bu bilgileri uygulamalarında kullanılan bileşenleri denetlemek için kullanmayı seçmeleri gerektiğini söylüyor.
11 Nisan’da Google, Go, Java, Python, JavaScript ve Rust için ana açık kaynak depoları da dahil olmak üzere beş yazılım ekosisteminde 5 milyondan fazla bileşeni kapsayan güvenlik meta verilerini içeren deps.dev API hizmetini duyurdu. Verilere hem şirketin deps.dev web sitesinden hem de yeni bir API aracılığıyla sorgulanabilen bir veri kümesinden erişilebilir.
Geliştiriciler bilgileri paketleri seçmeye yardımcı olmak için kullanabilir, tümleşik geliştirme ortamları (IDE’ler) bir geliştirici çalışırken güvenlik ölçümleri sunabilir ve uygulama güvenliği aracı oluşturucuları, bilgileri şu anda güvenlik ve güvenlik hakkında kararlar vermek için kullandıkları kaynaklar listesine ekleyebilirler. Google’ın Açık Kaynak Güvenlik Ekibi ürün yöneticisi Nicky Ringland, açık kaynak yazılım bileşenlerinin sürdürülebilirliğini söylüyor.
“Ayrıca, olaydan sonra raporlamaya bakmak … ve belki de ele almaları gereken bazı bağımlılık zorluklarını keşfetmek anlamına da gelebilir” diyor. “Nihayetinde, birden çok dil ekosisteminde potansiyel olarak çok büyük bir bağımlılık kümesini güvenlik veya lisanslama sorunları için otomatik ve ölçekli olarak kontrol edebilmek … tüm ekosisteme fayda sağlayacağını umduğumuz güçlü bir araçtır.”
bu Google deps.dev hizmetinin sürümü yazılım geliştiricileri, uygulama güvenlik firmaları ve ABD hükümeti açık kaynak yazılım ekosisteminin güvenliğini artırmanın yollarını bulmaya çalışırken geliyor. ABD İç Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu’na (CSRB) göre “endemik bir güvenlik açığı” olması beklenen Java için Log4J günlük kaydı paketindeki güvenlik açıklarından yararlanılması, yalnızca açık kaynaktaki güvenlik açıklarını en aza indirmenin öneminin altını çiziyor. paketler, aynı zamanda savunmasız paketlerin kullanımını da ortadan kaldırır.
Kurucu ortak ve baş teknoloji yetkilisi Brian Fox, açık kaynak projelerine güvenliği artırmak ve kendi bağımlılıklarını iletmek için daha fazla araç sağlamak üzere çeşitli çabaların halihazırda devam ettiğini, ancak geliştiricilerin güvenliği bir öncelik haline getirdiğini ve hangi bileşenlerin indirileceğini bilmek için bilgileri kullandığını söylüyor. yazılım güvenlik firması Sonatype. Firma, bir geliştirici güvenlik açığı olan bir yazılım bileşenini “tükettiğinde”, zamanın %96’sında bir düzeltmenin yapıldığını keşfetti. zaten mevcut.
“Başka bir deyişle, sorun aslında açık kaynak projelerimizin iyi bir iş çıkarmasıyla ilgili değil; Log4J ekibi, Şükran Günü hafta sonu için bir yamayı – günler içinde – muhtemelen çoğu şirketin aynı şeyi bir süre boyunca yapabileceğinden daha hızlı bir şekilde çevirdi. ticari proje” diyor. “Daha iyi bir iş çıkarmalıyız. Açık kaynak tüketen kuruluşlar bu kararları vermekte berbat bir iş çıkarıyorlar.”
Bir Bağımlılık Verisi Şöleni
Google’ın deps.dev hizmeti, geliştiricilerin açık kaynak bileşenleri hakkında bilgi araması için başka bir kaynak ekler, ancak tek kaynak değildir. Sonatype yenilendi OSS İndeksi 2018’de hizmet modernize edilerek, Google’ın kapsadığı beş ekosisteme ek olarak Ruby için RubyGems paket sistemi ve Linux için RPM Paket Yöneticisi gibi 14 farklı ekosistemden milyonlarca yazılım projesine ilişkin güvenlik ve bakım verilerine erişim sağlandı.
gibi diğer hizmetler OpenText’in Yapısı Kaldırıldıayrıca projeleri etiketleyerek ve popülerlik, katılımcı etkinliği ve güvenlik ölçütleri sunarak kendi bağımlılık veri kümelerine ilişkin bir görünüm sunar.
Google’dan Ringland, verilerin herhangi bir geliştiricinin daha iyi kararlar vermesine olanak sağlamasının yanı sıra araç üreticilerine yazılım programcıları için rehberliklerini iyileştirmeleri için başka bir veri kaynağı sunması gerektiğini söylüyor.
“API ile ilgili amacımız, hızlı tek seferlik betiklerden editör eklentileri gibi karmaşık araçlara veya sistem entegrasyonları oluşturmaya kadar her şey için kullanılabilmesidir” diyor. “IDE’lerden CI/CD sistemlerine ve denetim panolarına kadar her şeyde bu verilere yönelik gerçek bir ilgi görüyoruz ve kritik güvenlik bilgilerini geliştiricilere, CISO’lara, açık kaynak bakım sağlayıcılarına ve daha fazlasına ulaştırmaktan heyecan duyuyoruz.”
Geliştiricilerin yazılım bağımlılık verilerini kullanarak daha iyi seçimler yapmalarına yardımcı olmaya odaklanan Endor Labs, kaynaklarından biri olarak zaten deps.dev kullanıyor, ancak daha düzenli veritabanı erişimini övdü. Endor Labs, bir uygulamanın bir açık kaynak kitaplığı kullanması ancak bu kitaplıktaki savunmasız işlevleri kullanmaması gibi yanlış pozitifleri en aza indirmek için bu tür verileri kapsamlı analizlerle eşleştirir.
Şirket ayrıca, kendi bağımlılık bilgilerini daha erişilebilir hale getirmeyi de amaçlıyor. DroidGPTEndor Labs’ın CEO’su ve kurucu ortağı Varun Badhwar, ChatGPT tabanlı bir hizmetin risk verilerini sohbet yoluyla aranabilir hale getirdiğini söylüyor. Amaç, açık kaynak bağımlılıklarını seçmek ve yönetmek için gereken iş miktarını azaltmaktır, çünkü yanlış olanları seçmek, teknik borç olarak da bilinen gelecekte çok fazla iş yaratabilir.
Badhwar, “Teknik borç, genellikle, geliştiricilerden açık kaynak kodundaki güvenlik açıklarını sürekli olarak yamaları ve düzeltmeleri istendiğinde, bu kodun çoğu aslında kullanımda olmamasına rağmen yaratılır” diyor. “OSS ile teknik borcu azaltmanın yolu, daha iyi bağımlılıklar seçmek ve gerçekten önemli olan riske öncelik vermektir.”
SBOM + Bağımlılık Verileri = Daha İyi Yazılım Güvenliği
Geliştiriciler ve araç üreticileri, verileri geliştirme araçları tarafından giderek daha fazla oluşturulan yazılım malzeme listesi (SBOM’ler) ile birleştirmeye başladıkça, bağımlılık verileri gerçekten yararlı olmaya başlayacaktır.
Sonatype’den Fox, SBOM’ların, beş farklı şifreleme kitaplığı mı yoksa bir düzine kaydedici mi kullandıkları gibi açık kaynak kitaplıklarının kullanımlarını aydınlatarak kuruluşlara ve geliştirme ekiplerine yardımcı olabileceğini söylüyor.
Fox, “Hepsi aynı şeyi yapan bir düzine, 15 farklı bileşen kullandıklarını fark ettiklerinde o şok anını yaşıyorlar” diyor. SBOM’ları ve güvenlik verilerini birleştirerek, “Portföyümün tamamına bakabilir ve bunun hakkında akıl yürütmeye başlayabilirim.”
Endor Labs’tan Badhwar, buna güvenlik verilerinin eklenmesi şirketlerin yazılım seçimlerini nasıl kolaylaştıracakları konusunda daha iyi seçimler yapmalarına olanak tanıyor ve halka açık Güvenlik Puan Kartı gibi araçlar veya ticari hizmetler yardımcı olabilir, diyor.
“Çaba birden fazla ekibe yayılmaya başladığında ve çok fazla mühendislik çalışması gerektirdiğinden ve yanlış pozitif güvenlik uyarıları konusunda geliştirme çabalarını azaltmaya başladıklarında, şirketler aşağıdakilerle daha iyi yatırım getirisi elde edecek: [these] araçlar” diyor.