Google’un OSS Rebuild Girişimi ile Açık Kaynak Güvenliği Artacak
Günümüzde, yazılım geliştirme süreçlerinin çoğu açık kaynak projelerine dayanıyor. Ancak, açık kaynak yazılımlarının popülaritesi, aynı zamanda yazılım tedarik zinciri saldırıları için bir hedef haline gelmesine neden oldu. Google, bu durumu göz önünde bulundurarak, OSS Rebuild adlı yeni bir inisiyatif başlattığını duyurdu. Bu girişim, açık kaynak paket ekosistemlerinin güvenliğini artırmayı ve yazılım tedarik zinciri saldırılarını engellemeyi amaçlıyor.
OSS Rebuild Neden Önemli?
Matthew Suozzo, Google Açık Kaynak Güvenlik Ekibi’nden, “Tedarik zinciri saldırıları yaygın olarak kullanılan bağımlılıkları hedef almaya devam ettiğinden, OSS Rebuild güvenlik ekiplerinin dikkatlerini dağıtmadan tehlikeleri önlemesi için güçlü veriler sunacak,” açıklamasında bulundu. Bu bağlamda, projenin hedefi, düzenli olarak güncellenen ve güvenlik tehdidi oluşturabilecek açık kaynak paketlerinin izlenebilirliğini sağlamaktır.
OSS Rebuild Projesinin Hedefleri
OSS Rebuild, Python Paket İndeksi (Python), npm (JS/TS) ve Crates.io (Rust) paket kayıtları gibi platformlarda inşa kökenleri (build provenance) sağlamak amacıyla yola çıkmıştır. Proje, diğer açık kaynak yazılım geliştirme platformlarına da genişletilmesi planlanmaktadır. Güvenlik ekipleri, bu verileri kullanarak paketlerin nereden geldiğini doğrulayacak ve üst düzey bakım yapanların üzerindeki yükü azaltacaktır.
Güvenilir Güvenlik Metadata’sı Yaratma
OSS Rebuild, paketlerin güvenilirliğini sağlamak için deklatif inşa tanımları, inşa enstrümantasyonu ve ağ izleme yeteneklerini bir araya getiriyor. Google, “Otomasyon ve sezgisel yöntemlerle, hedef paket için muhtemel bir inşa tanımı belirliyor ve bunu yeniden inşa ediyoruz,” dedi. Bu yeniden üretim süreci sonucunda, kullanılan inşa tanımı ve çıktısı SLSA Provenance aracılığıyla yayımlanıyor. Böylece kullanıcılar, paketin kökenini güvenilir bir şekilde doğrulayabiliyor, inşa sürecini tekrarlayabiliyor ve hatta bilinen işlevsel bir bazdan özelleştirebiliyor.
Paketlerin Yeniden Yapılandırılması
OSS Rebuild, otomasyonun tam anlamıyla yeniden üretim gerçekleştiremediği durumlar için alternatif bir çözüm sunmaktadır. Bu durumda, kullanıcılar manuel inşa spesifikasyonu kullanabilirler. Yani, eğer otomatik süreç çalışmazsa, geliştiriciler henüz diğer alternatiflere yönelmeden manuel yapılandırmalar yapabilirler.
Tespit Edilecek Compromise Kategorileri
OSS Rebuild, yazılım tedarik zincirinde farklı türde kompromisleri tespit etme yeteneğine sahiptir. Bunlar arasında, genel kaynak deposunda bulunmayan kodlar barındıran yayımlanmış paketler (örneğin, @solana/web3.js), şüpheli inşa faaliyetleri (tj-actions/changed-files) ve manuel inceleme ile tespit edilmesi zor olan olağan dışı yürütme yolları bulunmaktadır. Bu tür durumlar, yazılım koruma süreçlerini güçlendirmek için oldukça önemli veriler sağlar.
Yazılım Faturalarındaki İyileşmeler
OSS Rebuild yalnızca yazılım tedarik zincirini güvence altına almakla kalmaz, aynı zamanda Yazılım Bileşenleri Listesi (SBOM) üzerinde de iyileştirmeler yapar. Bu sayede, zafiyetlere daha hızlı yanıt verme, paket güvenini artırma ve CI/CD platformlarının bir kuruluşun paket güvenliğinden sorumlu olma gereksinimini ortadan kaldırma imkanı sunar. Google, “Yeniden yapılandırmalar, yayımlanan meta veriler ve sanat eserleri analiz edilerek elde edilir ve bu, üst düzey paket sürümleri ile değerlendirilir,” açıklamasında bulunuyor.
Sonuç olarak
OSS Rebuild projesi, açık kaynak yazılım güvenliği açısından olumlu bir adım olarak karşımıza çıkıyor. Yazılım tedarik zincirinin korunması ve güvenilirlik sağlanması adına önemli bir katkı sunan bu girişim, geliştiricilere yasal ve kaliteli yazılımlar üretme konusunda yardımcı olacaktır. Google’ın bu alandaki çabaları, yazılım dünyasındaki birçok profesyonel için dikkate değer bir gelişim olarak öne çıkıyor.
