Açık kaynaklı yazılımlar her yerde bulunur. Teknolojik inovasyonun benzersiz bir itici gücü haline geldi çünkü onu kullanan kuruluşlar, yaygın yazılım bileşenleri için tekerleği yeniden icat etmek zorunda değiller.
Bununla birlikte, açık kaynaklı yazılımların her yerde bulunması, açık kaynaklı yazılım ürünlerinin tüketicilerine (kasıtlı veya kasıtsız olarak) güvenlik açıklarının ortaya çıkmasına kapı açtığı için önemli bir güvenlik riski de sunmaktadır. Yaygın olarak kullanılan Log4j kod kitaplığındaki büyük güvenlik açıklarını ele alma yarışı, açık kaynak yazılım ortamındaki risklerin ele alınması gerektiğinin en büyük işaretidir.
Siber Suçlular için Açık Kaynak Temyizi
Açık kaynak saldırı yöntemi, yaygın ve oldukça etkili olabileceği için kötü aktörlere hitap ediyor. Saldırganlar, açık kaynak projelerine katkıda bulunan kötü niyetli değişiklikleri gizlemek için çeşitli yöntemler kullanabilir ve güvenlik etkileri için kodu incelemedeki titizlik, projeler arasında büyük farklılıklar gösterebilir. Bu kötü niyetli değişiklikleri tespit etmek için sıkı kontroller olmadan, çok sayıda şirkete dağıtılıp yazılıma dahil edilene kadar fark edilmeyebilirler.
Açık kaynak koduna yapılan saldırıların boyutu ve etkiledikleri varlıklar değişebilir. Örneğin, geçen Temmuz, araştırmacılar üç açık kaynak projesini etkileyen dokuz güvenlik açığı — Küçük ve orta ölçekli işletmeler tarafından sıklıkla kullanılan EspoCRM, Pimcore ve Akaunting. Dahası, kişisel verilerini etkileyen 2017 Equifax veri ihlali 147 milyon insan kuruluşun açık kaynak kodundaki bir güvenlik açığının bir sonucu olarak, güvenlik açıklarından kötü aktörler tarafından nasıl yararlanılabileceğinin ve baştan sona zarar verici etkiler yaratabileceğinin açık bir örneğidir.
Senden Asla Vazgeçmeyeceğim
CISA, Log4j güvenlik açığından yüz milyonlarca cihazın etkilendiğini söyledi. Bu olayın büyüklüğü göz önüne alındığında, birçok işletmenin gelecekteki gelişmeler için açık kaynak kodundan yararlanıp yararlanmayacağını analiz etmesi muhtemeldir.
Ancak, açık kaynaktan tamamen vazgeçmek gerçekçi değildir. Tüm modern yazılımlar, açık kaynaklı bileşenlerden oluşturulmuştur ve bu bileşenleri açık kaynak olmadan yeniden oluşturmak, küçük uygulamaları bile üretmek için zaman ve para açısından büyük yatırımlar gerektirecektir. Üzerinde web sitelerinin %60’ı dünya çapında Apache ve Nginx sunucularında çalışır ve BT liderlerinin %90’ı bildirildiğine göre kurumsal açık kaynak kodunu düzenli olarak kullanıyor.
Yazılımınızı Test Etme ve Koruma
Açık kaynaktan kaçınmak yerine, güvenlik ve yazılım ekiplerinin uygulamaları ve yazılım bileşenlerini test etmek için politikalar ve bir süreç geliştirmek için birlikte çalışması daha gerçekçi bir yaklaşımdır. Kuruluşlar bunu üç parçalı bir süreç olarak düşünmelidir. Kodun taranmasını ve test edilmesini, güvenlik açıklarını ortaya çıktıkça ele almak ve düzeltmek için net bir süreç oluşturmayı ve güvenlik sorunlarını ele almak için kuralların belirlendiği bir dahili politika oluşturmayı gerektirir.
Açık kaynak ortamınızın dayanıklılığını araçlarla test etmek söz konusu olduğunda, statik kod analizi iyi bir ilk adımdır. Yine de kuruluşlar bunun yalnızca ilk test katmanı olduğunu hatırlamalıdır. Statik analiz, gerçek yazılım uygulaması veya programı yayınlanmadan önce kaynak kodun analiz edilmesi ve keşfedilen güvenlik açıklarının ele alınması anlamına gelir. Ancak, statik analiz, açık kaynak koduna gömülü olabilecek tüm kötü niyetli tehditleri tespit edemez. Bir sonraki adım korumalı alan ortamında ek testler olmalıdır. Sıkı kod incelemeleri, dinamik kod analizi ve birim testi, yararlanılabilecek diğer yöntemlerdir. (Dinamik analiz, güvenlik açıklarını belirlemek için şu anda çalışırken yazılım programını incelemeyi ifade eder.)
Tarama tamamlandıktan sonra, kuruluşların keşfedilen güvenlik açıklarını gidermek için net bir süreci olmalıdır. Geliştiriciler kendilerini bir son teslim tarihine karşı bulabilirler veya yazılım yaması tüm programın yeniden düzenlenmesini gerektirebilir ve zaman çizelgelerini zorlayabilir. Bu süreç, geliştiricilerin, güvenlik açıklarını ele almak ve sorunları azaltmak için sonraki adımları netleştirerek kuruluşun güvenliğini korumak için zorlu seçimleri ele almasına yardımcı olmalıdır.
Politika değişikliği adımı, tüm kararların ileriye doğru nasıl alınacağına ve süreç boyunca hangi paydaşların dahil edilmesi gerektiğine dair belgelenmiş bir plan oluşturmalıdır. Ek olarak, kuruluşlar, sertifikasyon ve akreditasyon programları gibi açık kaynak bileşenleri için birden çok denetim uygulayabilir. Ancak bunun ek genel giderler ekleyeceğini ve açık kaynak projelerinin gelişimini yavaşlatacağını unutmayın.
Açık Kaynağı Gelecekteki Saldırılara Karşı Savunmak
Genel olarak endüstri, açık kaynak kodunu daha fazla koruma ihtiyacına dikkat çekiyor. Linux Vakfı, Ekim ayında açık kaynaklı yazılımlardaki siber güvenlik açıklarını belirlemek ve düzeltmek ve gelişmiş araçlar, eğitim, araştırma ve güvenlik açığı açıklama uygulamaları geliştirmek için diğer endüstri liderleriyle birlikte 10 milyon dolar topladığını duyurdu.
Açık kaynak koduna dayalı yazılımları siber tehditlere karşı korumaya yönelik sektör çapındaki çabalara ek olarak, kuruluşların savunma stratejilerine dahili proaktif bir yaklaşım da benimsemesi gerekir. Bu, hem kendi kodları hem de güvendikleri açık kaynak kodu için test ve kontrol prosedürlerinin uygulanmasını içermelidir. Kuruluşlar ayrıca, açık kaynaklı yazılım kullanımından kaynaklanan riskleri tanıyan ve bu riski yönetmek için kullanılacak kontrolleri belirleyen dahili politikalar ve yönergeler geliştirmelidir. Bunu yapmak, gelecekteki saldırılara karşı dayanıklı bir ortam yaratırken açık kaynak kodunun avantajlarından yararlanmaya devam etmelerini sağlayacaktır.
