Açık kaynak depoları, modern uygulamaları çalıştırmak ve yazmak için kritik öneme sahiptir, ancak dikkatli olun; dikkatsizlik, mayınları patlatabilir ve yazılım altyapılarında arka kapılar ve güvenlik açıkları oluşmasına neden olabilir. BT departmanlarının ve proje yöneticilerinin, kötü amaçlı kodun uygulamaya dahil edilmediğinden emin olmak için projenin güvenlik yeteneklerini değerlendirmesi gerekir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Açık Kaynak Güvenlik Vakfı’nın (OpenSSF) sunduğu yeni bir güvenlik çerçevesi, diğer kontrollerin yanı sıra proje yöneticileri için çok faktörlü kimlik doğrulamanın, üçüncü taraf güvenlik raporlama yeteneklerinin ve güncel olmayan veya güvenli olmayan paketler için uyarıların etkinleştirilmesini önermektedir. Kamuya açık depolarda açık kaynak kodu gibi görünen kötü amaçlı kodlara ve paketlere maruz kalmanın azaltılmasına yardımcı olun.
OpenSSF genel müdürü Omkhar Arasaratnam, “Açık kaynak topluluğu, bu paketleri getirmek için bu su kaynaklarının etrafında toplanıyor. Altyapı açısından bakıldığında bunların güvenli olması gerekiyor” diyor.
Kötü Kodun Nerede Bulunabileceği
Bu önemli delikler arasında tüm programları, programlama araçlarını ve yazılımı çevrimiçi hizmetlere bağlayan API’leri barındıran GitHub yer alıyor. Diğer depolar arasında Python paketlerini barındıran PyPI; Bir JavaScript deposu olan NPM; ve bir Java deposu olan Maven Central. Python, Rust ve diğer programlama dillerinde yazılan kod, birden fazla paket deposundan kitaplıkları indirir.
Geliştiriciler, paket yöneticilerine enjekte edilebilecek ve bilgisayar korsanlarının sistemlere erişmesine olanak tanıyabilecek kötü amaçlı yazılımları almak için istemeden kandırılabilir. Python ve Rust gibi dillerde yazılan programlar, geliştiricilerin yanlış URL’ye bağlanması durumunda kötü amaçlı yazılım içerebilir.
CISA ve OpenSSF’nin “Paket Deposu Güvenliği İlkeleri”nde ortaya konulan yönergeler, depolar tarafından hâlihazırda benimsenen güvenlik çabalarına dayanmaktadır. Python Yazılım Vakfı geçen yıl Sigstore’u kabul ettiPyPI ve diğer depolarda bulunan paketlerin bütünlüğünü ve kaynağını sağlayan.
Arasaratnam, depolardaki güvenliğin çok kötü olmadığını ancak tutarsız olduğunu söylüyor.
Arasaratnam, “İlk kısım, topluluk içindeki daha popüler ve önemli olanlardan bazılarını bir araya getirmek ve bunlar arasında evrensel olarak kullanılabilecek bir dizi kontrol oluşturmaya başlamaktır” diyor.
Yeni yönergeler, kötü amaçlı paketlerin yanlış dosya adını veya URL’yi yanlış yazan geliştiriciler tarafından indirildiği ad işgali gibi olayları önleyebilir.
Arasaratnam, “Paketin kötü amaçlı bir sürümünü yanlışlıkla başlatabilirsiniz veya bu, birinin bakımcının kimliği altında kötü amaçlı bir kod yüklediği ancak yalnızca makine güvenliğinin ihlali nedeniyle olduğu bir senaryo olabilir” diyor.
Kötü Amaçlı Paketlerin Tanınması Daha Zor
Depolardaki paketlerin güvenliği, geçen Kasım ayında New York’taki Açık Kaynak Finans Forumu’nda (OSFF) açık kaynak güvenliğiyle ilgili bir panel oturumuna damgasını vurdu.
Brian Fox, “Bu, tarayıcıların doğası gereği savunmasız olduğu eski günlere benziyor. İnsanlar kötü amaçlı bir web sitesine gidiyor, arka kapı açılıyor ve sonra ‘Vay be, bu site değil’ diyorlardı” dedi. Panel tartışması sırasında Sonatype’ın kurucusu ve baş teknoloji sorumlusu. “Kasıtlı olarak kötü amaçlı olan 250.000’den fazla bileşeni izliyoruz.”
OSFF konferansında Citi’nin genel müdürü ve küresel siber operasyonlar başkanı Ann Barron-DiCamillo, BT departmanlarının açık kaynak kodu gibi görünen kötü amaçlı kodlar ve paketlerle uğraşmaya başladığını söyledi.
“Geçen yıl kötü amaçlı paketlerden bahsederken, önceki yıllara göre iki kat artış gördük” dedi. “Bu, geliştirme topluluğumuzla ilişkili bir gerçeklik haline geliyor.”