Açık kaynak depoları, modern uygulamaları çalıştırmak ve yazmak için kritik öneme sahiptir, ancak dikkatli olun; dikkatsizlik, mayınları patlatabilir ve yazılım altyapılarında arka kapılar ve güvenlik açıkları oluşmasına neden olabilir. BT departmanlarının ve proje yöneticilerinin, kötü amaçlı kodun uygulamaya dahil edilmediğinden emin olmak için projenin güvenlik yeteneklerini değerlendirmesi gerekir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Açık Kaynak Güvenlik Vakfı’nın (OpenSSF) sunduğu yeni bir güvenlik çerçevesi, proje yöneticileri için çok faktörlü kimlik doğrulamanın etkinleştirilmesi, üçüncü taraf güvenlik raporlama yetenekleri ve güncel olmayan veya güvenli olmayan paketler için uyarılar gibi kontroller önermektedir. Kamuya açık depolarda açık kaynak kodu gibi görünen kötü amaçlı kodlara ve paketlere maruz kalmanın azaltılmasına yardımcı olun.
OpenSSF genel müdürü Omkhar Arasaratnam, “Açık kaynak topluluğu, bu paketleri almak için bu su kaynaklarının etrafında toplanıyor; bunların altyapı açısından güvenli olması gerekiyor” diyor.
Kötü Kodun Nerede Bulunabileceği
Bu önemli delikler arasında tüm programları, programlama araçlarını veya yazılımı çevrimiçi hizmetlere bağlayan API’leri barındıran Github yer alıyor. Diğer depolar arasında Python paketlerini barındıran PyPI; Bir JavaScript deposu olan NPM; ve bir Java deposu olan Maven Central. Python, Rust ve diğer programlama dillerinde yazılan kod, birden fazla paket deposundan kitaplıkları indirir.
Geliştiriciler, paket yöneticilerine enjekte edilebilecek ve bilgisayar korsanlarının sistemlere erişmesine olanak tanıyabilecek kötü amaçlı yazılımları almak için istemeden kandırılabilir. Python ve Rust gibi dillerde yazılan programlar, geliştiricilerin yanlış URL’ye bağlanması durumunda kötü amaçlı yazılım içerebilir.
“Paket Deposu Güvenliği İlkeleri”ndeki yönergeler, depolar tarafından halihazırda benimsenmiş olan güvenlik çabalarına dayanmaktadır. Python Yazılım Vakfı geçen yıl Sigstore’u kabul ettiPyPI ve diğer depolarda bulunan paketlerin bütünlüğünü ve kaynağını sağlayan.
Arasaratnam, depolardaki güvenliğin çok kötü olmadığını ancak tutarsız olduğunu söylüyor.
Arasaratnam, “İlk kısım, topluluk içindeki daha popüler ve önemli olanlardan bazılarını bir araya getirmek ve bunlar arasında evrensel olarak kullanılabilecek bir dizi kontrol oluşturmaya başlamaktır” diyor.
CISA’nın Paket Deposu Güvenliği İlkeleri’nde ortaya konulan yönergeler, geliştiricilerin yanlış dosya adı veya URL’yi yanlış yazarak kötü amaçlı paketlerin indirilebileceği ad işgali gibi olayları önleyebilir.
Arasaratnam, “Paketin kötü amaçlı bir sürümünü yanlışlıkla başlatabilirsiniz veya bu, birinin bakımcının kimliği altında kötü amaçlı bir kod yüklediği ancak yalnızca makine güvenliğinin ihlali nedeniyle olduğu bir senaryo olabilir” diyor.
Kötü Amaçlı Paketlerin Tanınması Daha Zor
Depolardaki paketlerin güvenliği, geçen yıl Kasım ayında New York’ta düzenlenen Finansta Açık Kaynak Forumu’ndaki açık kaynak güvenliği panel oturumuna damgasını vurdu.
“Bu, tarayıcıların doğası gereği savunmasız olduğu eski günlere benziyor. Panel tartışması sırasında Sonatype’ın kurucu ortağı ve baş teknoloji sorumlusu Brian Fox, insanlar kötü amaçlı bir web sitesine gidiyor, bir arka kapı açılıyor ve ardından “vay be, bu site değil” diyordu.
Fox, “Kasıtlı olarak kötü amaçlı olan 250.000’den fazla bileşeni izliyoruz” dedi.
Citi’nin genel müdürü ve küresel siber operasyonlar başkanı Ann Barron-DiCamillo, birkaç ay önce OSFF konferansında, BT departmanlarının açık kaynak kodu gibi görünen kötü amaçlı kod ve paketlerle uğraşmaya başladığını söyledi.
“Geçen yıl kötü amaçlı paketlerden bahsederken, önceki yıllara göre iki kat artış gördük. Bu, geliştirme topluluğumuzla ilişkili bir gerçeklik haline geliyor” dedi Barron-DiCamillo.
