Bu yılın başlarında bir Microsoft geliştiricisi birisinin bunu fark ettiğini fark etti. bir arka kapı ekledim neredeyse tüm Linux işletim sistemlerinde kullanılan açık kaynaklı yardımcı program XZ Utils’in koduna dahil edilmiştir.
Operasyon iki yıl önce JiaT75 lakaplı birinin GitHub’daki XZ Utils deposuna katkıda bulunmaya başlamasıyla başlamıştı. Bir siber güvenlik uzmanı, bu saldırıyı bir “kabus senaryosu” ve “gördüğümüz en iyi yürütülen tedarik zinciri saldırısı” olarak nitelendirdi.
Heartbleed, Shellshock ve Log4j gibi açık kaynaklı yazılımları içeren diğer iyi bilinen siber güvenlik olaylarının ardından gerçekleşen saldırı, açık kaynaklı yazılımların, ne kadar yaygın olduğu göz önüne alındığında, önemli güvenlik riskleri oluşturabileceğinin bir başka keskin hatırlatıcısıydı.
TechCrunch Disrupt 2024’te Sequoia Capital ortağı Bogomil Balkansky; ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın açık kaynak güvenliğinden sorumlu bölüm şefi Aeva Black; ve Tidelift’in kurucu ortağı Luis Villa, açık kaynaklı yazılımı güvence altına almanın zorluklarını tartışmak için bir araya geldi.
“Açık kaynağın pizza gibi özgür olmadığını söylemek hoşuma gidiyor. Bir köpek yavrusu gibi bedava. Onu eve götürürsün ve beslemezsin, mobilyalarını, ayakkabılarını yer,” dedi Black.
Balkansky, açık kaynak yazılımı “yazılımın can damarı” olarak adlandırdı ve bu da onu “temel ve her şeyin içine yerleştirilmiş” kılıyor. Balkansky, sorunun “açık kaynağa yönelik iş modelinin hala üzerinde çalışılıyor olması” olduğunu ekledi.
Peki bununla kim ilgilenmeli ve güvence altına almak için ödeme yapmalı?
Villa ve Tidelift’teki ekibi, şirketin açık kaynak bakımcılarına kodlarıyla ilgilenmeleri için ve ortaklarına güvenlik açıklarını düzeltmeleri için ödeme yaptığı bir model öneriyor.
Black, CISA’nın şöyle açıkladı: şimdi devreye giriyorişletmelere en iyinin ne olduğunu anlatmak için girişimler başlatmak – ve en kötüsü — açık kaynaklı yazılımın dağıtımına ilişkin güvenlik uygulamaları. Açık kaynak yazılımın kamu malı olduğunu düşünen Black, “Açık kaynak topluluğunun bir üyesi olarak katılmak ve onlarla çalışmak için buradayız” dedi.
Nasıl ilerleneceği konusunda Balkansky, “açık kaynak güvenliğine yönelik çözümün en azından bir dereceye kadar açık kaynak olması gerektiğini” söyledi ve “sihirli çözüm yok” uyarısında bulundu.
Villa, “çoklu yaklaşımlara” ve “derinlemesine savunmaya” ihtiyaç olduğunu, bunun da açık kaynak ekosistemini korumak için birkaç güvenlik katmanına ihtiyaç olduğu anlamına geldiğini söyledi.
Black, yazılım geliştiricilerin ürünlerinde hangi açık kaynaklı yazılımın bulunduğunu bilmeleri gerektiğini söyledi. Black, “Herkesin bunu daha az çabayla ve bireysel gönüllü bakımcılar ve kar amacı gütmeyen kuruluşlar üzerinde daha az yük ile yapabilmesini sağlamak için daha iyi bir katılıma ihtiyacımız var” dedi.
