Güvenlik açıklarına sahip açık kaynak kod tabanlarının oranı son iki yılda aynı seviyede kalmaya devam etti, ancak yüksek riskli güvenlik açıklarına sahip uygulamaların sayısı son dört yılın en düşük seviyesine indi.
Bu, Synopsys tarafından 22 Şubat’ta yayınlanan “2023 Açık Kaynak Güvenlik ve Risk Analizi” (OSSRA) raporuna göre. 1.700’den fazla uygulamanın denetimine dayanan yıllık çalışma, neredeyse her yazılım programının (%96) ortalama kod tabanının %76’sı açık kaynak kodundan oluşan bir tür açık kaynak yazılım bileşeni. En az bir güvenlik açığı bulunan kod tabanlarının sayısı son üç yılda %80’in biraz üzerinde (2022’de %84) çoğunlukla sabit kalırken, yüksek riskli güvenlik açıklarına sahip uygulamaların sayısı tüm uygulamaların yaklaşık yarısına (%48) düştü. 2020’de yaklaşık %60’lık bir zirveden test edilen uygulamalar.
Synopsys Software Integrity Group’ta kıdemli bir yazılım çözümleri yöneticisi olan Mike McGuire, genel olarak, ortalama uygulamanın 595 olduğu, ancak daha fazla uygulama güvenliğine yönelik geniş bir eğilim olmadığı, zayıf bağımlılıklara karşı mücadelede bazı parlak noktalar olduğunu söylüyor.
“Kuruluşlar, açık kaynak kullanımının ölçeğine ayak uydurmak için mücadele ediyor” diyor. “Uygulama başına ortalama 600 bileşeni alır ve bunu yıllık bazda açıklanan güvenlik açıklarının sayısıyla çarparsanız, o zaman gerçekten, gerçekten işin içinde boğulmaya başlayabilirsiniz.”
Açık kaynak bileşenleri ve popüler uygulama çerçevelerinin dayandığı bağımlılıklar, yazılım üreticileri ve uygulama geliştiricileri için güvenlik sorunları oluşturmaya devam ediyor. Java ekosistemindeki Log4j gibi bazı bileşenlerin her yerde bulunması, açık kaynak çerçevelerine dayalı birçok uygulama için güvenlik sorunlarına neden olmaya devam ediyor.
Eski Bağımlılıklar Yaygındır
Çok fazla bileşen içeren uygulamalar – ve dolayısıyla bu bileşenlerin bağımlılıkları – her güvenlik açığının bulunmasını zorlaştıran derin bağımlılık ağaçlarına sahip olabilir. Örneğin, neredeyse tüm uygulamalar (%91), son iki yılda geliştirilmeyen en az bir açık kaynak bileşeni içeriyordu, bu muhtemelen projenin artık sürdürülmediğinin bir işareti ve bu nedenle bir güvenlik riski oluşturuyor.
Yaklaşık sekiz uygulamadan biri, belirli bir kod tabanının 10’dan fazla farklı sürümüne sahipti ve bunların her biri muhtemelen farklı bir bileşenden ve bu bileşenin bağımlılıklarından içe aktarılmıştı.
Bu eski kod tabanlarını ortadan kaldırmamak bir risk teşkil eder, Synopsys OSSRA raporunda belirtilen.
Raporda, “Açık kaynak, bu yıl incelediğimiz neredeyse her şeydeydi; endüstrilerdeki kod tabanlarının çoğunu oluşturuyordu ve kuruluşların düzeltmeyi başaramadığı, onları istismara karşı savunmasız bırakan rahatsız edici derecede yüksek sayıda bilinen güvenlik açığı içeriyordu.” “Açık kaynağın kendi başına herhangi bir doğal risk düzeyi oluşturmadığını, ancak bunu yönetememenin oluşturduğunu anlamak çok önemlidir.”
Daha fazla bağımlılığın daha fazla güvenlik açığı anlamına gelip gelmediği hala araştırılan bir ilişkidir. Örneğin, JavaScript çerçeveleri en fazla sayıda bağımlılığa sahip olma eğilimindedir, ancak yazılım güvenlik firması Veracode tarafından Ocak ayında yayınlanan bir rapora göre, JavaScript uygulamaları Java ve .NET uygulamalarından daha az savunmasız olma eğilimindedir.
Açık Kaynak Bağımlılıklarının Gerisinde Kalmayın
OSSRA raporuna göre, açık kaynak kodunun güvenlik üzerindeki etkisi sektöre göre değişiyor. Bazı sektörler açık kaynak kullanımlarını artırırken, diğerleri portföylerini konsolide etti. Olgunluk seviyelerine bağlı olarak, güvenlik üzerindeki etkileri farklı olabilir.
Örneğin eğitim teknolojisi şirketleri, pandemi sırasında çevrimiçi öğretime yönelik baskı sırasında okulların ihtiyaç duyduğu yeni özellikleri ve uygulamaları desteklemek için açık kaynak bileşenleri benimsedi. Bu sektörde, açık kaynaklı yazılımlar, 2018’de yaklaşık üçte bir oranında artarak, 2022’de kod tabanlarının %80’inden fazlasını oluşturuyordu. Diğer sektörler de kullanımda o kadar keskin olmasa da çarpıcı artışlar gördü. Örneğin havacılık, havacılık, otomotiv, ulaşım ve lojistik sektörü de açık kaynak bileşenlerinin kullanımını beş yılda neredeyse ikiye katladı.
McGuire, benimsenmedeki önemli artışın, birçok şirketin yazılımlarını neyin oluşturduğuna ve neyin yama yapılması gerektiğine ilişkin görünürlüğünü kaybetmesine yol açtığını söylüyor.
“Daha fazla kuruluş daha fazla açık kaynak bileşeni kullanıyor, ancak bunları takip edecek programlara sahip değiller.” [patches] aşağı,” diyor. “Bu güncellemelerle su altına girdiğinizde – bu tıpkı diğer herhangi bir teknik borç veya genel olarak borç gibi, değil mi? – geri dönüş yolunu çizmek gerçekten zor.”
Rapora göre, diğer endüstriler, muhtemelen daha az projeyi bağımlılık olarak birleştirerek açık kaynaklı yazılım kullanımlarını azalttı. Hem internet ve yazılım altyapısı sektörü, hem de telekomünikasyon ve kablosuz sektörü, açık kaynaklı yazılımların kod tabanlarına katkısını %60’ın altına indirdi. Her iki endüstri de daha az yüksek önem dereceli güvenlik açığı gördü.
