Geçtiğimiz hafta New York City’deki Birleşmiş Milletler’de düzenlenen iki günlük bir konferansta teknoloji uzmanları ve küresel politika yapıcılar, açık kaynaklı yazılımın (OSS) dünyaya sağlayabileceği faydalar hakkında konuştular, özellikle Afrika ve ötesindeki yetersiz hizmet alan ülkelere uygun fiyatlı teknoloji sunma konusunda. Ancak OSS vaadinden en iyi şekilde yararlanmak için, güvenlik uygulama geliştirmeyle el ele gitmelidir.
Kenya hükümetinin teknoloji özel temsilcisi Philip Thigo, refahtan dışlanmanın norm olduğu bir dünyada, OSS’nin daha fazla insanın kodlama faaliyetlerine ve uygulama geliştirme işine katılmasını sağladığını vurguladı; örneğin GitHub’da Kenya’dan 300.000’den fazla ve Nijerya’dan bir milyondan fazla geliştiricinin bulunduğunu belirtti.
“Sürdürülebilir kalkınma hedefleri çağında, aşırı yoksulluğu sona erdirmeli ama aynı zamanda kimseyi geride bırakmamalıyız… açık kaynak neredeyse yaptığımız her şeyin ayrılmaz bir parçası haline geliyor.” katılımcılara söyledi de BM’nin İyilik İçin Açık Kaynak Program Görevlileri 2024 konferansı 9 Temmuz’da.
Konferansta konuşan Açık Kaynak Güvenlik Vakfı (OpenSSF) Genel Müdürü Omkhar Arasaratnam, bu hedeflere ulaşmak için her ülkenin ekosistemin güvenliğine de odaklanması gerektiğini söyledi Karanlık Okuma.
“Bizim bakış açımıza göre açık kaynak kodlu yazılımların tüm bu alanlarda yardım sağlayabilmesi ve topluluk oluşturabilmesi harika bir şey, ancak tabii ki ön koşul güvenli olması,” diyor. “Karşı karşıya kalmak isteyeceğiniz son şey … küresel çoğunluğun bir kısmının, güvenli olmayan bir paket yüzünden, diyelim ki, gıda güvenliği ve siber güvenlikle mücadele ettiği bir senaryodur.”
Kaynak Eksikliği: Açık Kaynak İçin Tehlike Uyarıları
Uygulama geliştirme çabalarında kullanılan açık kaynaklı bileşenleri güvence altına almakla ilgilenen şirketler — Arasaratnam’ın söylediği gibi “talep tarafı” — emrinde bol miktarda araç ve hizmete sahiptir. Ancak çoğu zaman, Afrika’dakiler de dahil olmak üzere OSS bakımcıları ve proje katılımcıları, güvenlik için fon ve kaynaklardan yoksundur — aslında, birçoğu projeler üzerinde ücretsiz çalışır veya ekipteki tek kişidir.
“Talep tarafı, kolay kısım bu — odaklanmamız gereken arz tarafı,” diyor. “Unutmayın, bu programların çoğu, bu kritik açık kaynaklı projelerin çoğu, inanılmaz derecede popüler olan tek bakımcılı projelerdir.”
The XZ Utils projesine koordineli saldırı tehlikeyi geniş bir ölçekte vurgular. O olayda, sofistike bir grup, üç yıl boyunca projenin tek, aşırı stresli bakımcısını hedef aldı. Saldıran grubun üyeleri, hem onu eleştirmek hem de yardım teklif etmek için çeşitli kimlikler giydiler. Sonunda, saldırganlar bakımcı ayrıcalıkları elde ettiler ve istismar edilebilir kodu taşıdılar.
XZ Utils projesine yapılan ve ona güvenen diğer birçok projenin tehlikeye girmesine yol açabilecek saldırı, önemli dersler içeriyor: sadece tedarik zinciri güvenliğinin önemli olduğu değil, aynı zamanda bu tür saldırıların durdurulabileceği. Arasaratnam, OpenSSF’nin ücretsiz araçlarından biri olan Scorecards’ın XZ Utils projesinin riskliliğini vurguladığı ve diğer projelerin de bu araçları kullanarak benzer sosyal mühendislik çabalarını tespit edin.
“İyi haber şu ki, duyduktan sonra [about the attack]”, diğer açık kaynaklı projelerin birçoğu, aynı şeyleri yapmaya çalışan aktörlerden çok benzer bir çalışma biçimi tespit etti,” diyor. “Ancak bu projeler çok daha iyi kaynaklara sahip oldukları için, buna karşı hassas değillerdi.”
Güvenli Bir Açık Kaynak Ekosistemi Oluşturun
Güvenliği artırmak ve yetersiz kaynaklı projelerin tehlikelerinden kaçınmak için şirketlerin birkaç seçeneği vardır, hepsi geliştiricilerinin ve operasyonlarının hangi OSS’ye güvendiğini belirlemekle başlar. Bu amaçla, yazılım malzeme listeleri (SBOM’lar) Ve yazılım kompozisyon analizi (SCA) Yazılım tedarik zinciri güvenlik firması Endor Labs’ın baş güvenlik danışmanı Chris Hughes, yazılımın ortamda nelerin bulunduğunu tespit etmeye ve şirketlerin kontrol etmesi, doğrulaması ve yönetmesi gereken paket sayısını azaltmaya yardımcı olabileceğini söylüyor.
“Çok fazla yazılım, çok fazla proje var, çok fazla kütüphane… hepsini aktif olarak izleme fikrinin çok zor olduğunu söylüyor.
Son olarak, geliştiricilere ve paket yöneticilerine kodu güvenli bir şekilde nasıl üretecekleri ve yönetecekleri konusunda eğitim vermek önemli kazanımlar sağlayabilecek bir diğer alandır. Örneğin OpenSSF, bu çabanın bir parçası olarak ücretsiz bir LFD 121 kursu oluşturmuştur.
“Bu yılın ilerleyen zamanlarında yayınlanacak olan güvenlik mimarileri üzerine bir kurs da oluşturacağız,” diyor OpenSSF’den Arasaratnam. “Sadece mühendisler için değil, mühendislik yöneticileri için de bir güvenlik kursu olacak, çünkü bunun denklemin kritik bir parçası olduğuna inanıyoruz.”
Grup ayrıca kritik açık kaynak projelerini belirlemek için Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile çalışmaya odaklandı; ve grup, belirli paketlerin güvenlik duruşunu belgelemek için OpenSSF Puan Kartı ve bir yazılımın paketlerinin güvenlik iddialarını doğrulayabilen dijital bir imza olan Sigstore gibi araçların oluşturulmasını geliştiriyor ve finanse ediyor. Ve son olarak, Arasaratnam, OpenSSF’nin açık kaynak paketlerinin yaşadığı depolama platformlarının güvenliğini sağlamaya yardımcı olduğunu söylüyor, buna şunlar dahildir: PyPİ, Yakut TaşlarVe npm, Düğüm Paket Yöneticisi.