İşletmeler ücretsiz ve açık kaynaklı (FOSS) yazılımlara giderek daha fazla bağımlı hale geldikçe, güvenlik duruşları için gereksiz riskler alınmaktadır.
en son haberlere göre bildiri (yeni sekmede açılır) yazılım tedarik zinciri güvenlik firması Sonatype’tan, işletmelerin güvendiği açık kaynaklı yazılım türlerinin korkunç bir resmini çiziyor, belki de yazılım maliyetlerini düşürmenin bir yolu olarak.
Şirketin sekizinci yılına giren Yazılım Tedarik Zincirinin Durumu Raporuna göre, geliştiriciler her ay 1,2 milyar savunmasız bağımlılık indiriyor ve bu sayının %96’sının savunmasız olmayan bir alternatifi var.
OSS tedarik zinciri saldırılarında artış
Daha sonra indirilen ve kurumsal yazılıma entegre edilen açık kaynak havuzlarına saldırmak, tedarik zinciri siber saldırısının açık bir örneğidir.
Her yıl uygulama başına yaklaşık 1.500 bağımlılık değişikliği ile açık kaynak ekosistemlerini sürdürmek, geliştiriciler üzerinde büyük bir baskı oluşturuyor ve her zaman hatalar yapılacak.
Belki de bunun bir sonucu olarak Sonatype, bu tür siber faaliyetlerin her yıl %633 oranında artan büyük bir artış gördüğünü bildiriyor.
Ancak, bir çözüm olduğuna inanıyor: öncelikle, bağımlılıkları en aza indirmek ve uç noktalardaki yazılım güncellemelerini hızlandırmak. Ayrıca, mühendislik profesyonelleri arasında savunmasız FOSS bağımlılıkları konusunda farkındalığın artırılmasını önerir.
Sonatype, kurumsal uygulamaların aynı yüzdesinin (%68) açık kaynaklı yazılım bileşenlerinde bilinen güvenlik açıkları içerdiği tespit edilmesine rağmen, üçte ikisinden fazlasının (%68) uygulamalarının savunmasız kitaplıklar kullanmadığından emin olduğunu tespit etti.
Dahası, BT yöneticilerinin, şirketlerinin yazılım sorunlarını geliştirme aşamasında BT güvenlik akranlarına göre düzenli olarak ele aldığına inanma olasılığı iki kattan fazlaydı.
Sonatype için işletmelerin yazılım geliştirme sürecini daha akıllı araçlar, daha fazla görünürlük ve daha iyi otomasyonla basitleştirmesi ve optimize etmesi gerekiyor.
Tedarik zinciri saldırıları, log4j güvenlik açığı ve SolarWinds uzlaşmasına dayalı olaylar da dahil olmak üzere son yıllarda şimdiye kadarki en yıkıcı siber olaylardan bazıları olmuştur. Bugün bile siber suçlular, log4j kusurunu kullanarak her şekil ve büyüklükteki kuruluşun güvenliğini tehlikeye atıyor.
Aracılığıyla GirişimBeat (yeni sekmede açılır).
