Lineaje’ye göre açık kaynak katkılarının coğrafi dağılımı, özellikle artan ulus devlet saldırıları nedeniyle kuruluşların acilen dikkate alması gereken jeopolitik riskleri beraberinde getiriyor.
Açık kaynak kod riskleri anonim katkılarla artıyor
Microsoft, müşterilerinin günde 600 milyon siber saldırıyla karşı karşıya kaldığını ve bunların %24’ünün BT sektörünü hedef alan ulus devlet saldırganlarından kaynaklandığını tahmin ediyor. Yazılımların giderek hayati önem taşıyan sistemleri desteklemesiyle birlikte, kodun kökeni ulusal ve ekonomik bir güvenlik meselesi haline geldi.
Açık kaynak katkılarının %34’ü ABD’den, %13’ü Rusya’dan ve daha küçük yüzdeler ise Kanada, İngiltere ve Çin’den geliyor.
ABD’nin açık kaynak katkılarının %20’si anonimdir; bu oran Rus muadillerinin iki katından fazla ve Çinli katkıda bulunanların üç katıdır. Küresel olarak, herhangi bir uygulamanın tüm açık kaynak bileşenlerinin %5-8’i bilinmiyor, üzerinde oynanıyor veya kaynağı şüpheli; bunların çoğuna anonim olarak katkıda bulunuluyor.
Bunun anlamı, geliştiricilerin kodun kökenini ve işlevselliğini tam olarak anlamadan projelere dahil etmeleri, potansiyel olarak gizli arka kapılar, kötü amaçlı yazılımlar veya kritik güvenlik açıkları ortaya çıkarması ve önemli riskler oluşturmasıdır.
Savunma sistemleri, su, elektrik, bankacılık ve perakende gibi hayati sektörler yazılım bakımıyla mücadele ediyor. Bu endüstrilere genellikle birden fazla ülkeden katkıda bulunanlar olduğundan, herhangi bir rakip ülkeyi tamamen hariç tutmak zordur.
Pek çok güvenlik açığında düzeltmeler eksik
Rapor, coğrafi kökene bakılmaksızın, ortalama orta ölçekli uygulamanın kritik güvenlik açıklarına yol açan birçok rahatsız edici eğilime sahip olduğunu ortaya çıkardı.
Açık kaynak, geliştiricilerinizin yazdığı kodun 2 ila 9 katı kadar katkıda bulunur ve güvenlik zayıflıklarının %95’i açık kaynak paket bağımlılıklarından kaynaklanır. Tüm CVE önem düzeylerinde bu güvenlik açıklarının %51’inin bilinen bir çözümü yoktur. Ek olarak, açık kaynaklı bileşenlerin %70’inin bakımı artık yapılmıyor veya yetersiz şekilde korunuyor.
Şaşırtıcı bir şekilde, bakımı yapılmayan açık kaynak, iyi bakımı yapılan açık kaynaktan 1,8 kat daha savunmasızdır. Bakımı iyi yapılan bileşenlerdeki yüksek orandaki değişim riskleri artırmaktadır.
Bireysel açık kaynak projeleri, düzinelerce açık kaynak kuruluştan gelen 60’a kadar bileşen katmanını barındırır. Genellikle geliştiricilerin kuruluşlarının uygulamalarına dahil ettiği tek bir bağımlılıkla karmaşık bir Lego yapısında bir araya getirilirler, bu da zayıf risk değerlendirmesine ve hatta daha zayıf iyileştirme yaklaşımlarına yol açar. Geliştiricilerin hangi güvenlik açıklarını kolayca düzeltebileceğini ve hangilerini düzeltmemesi gerektiğini bilmek, güvenlik açığı düzeltme çalışmalarının en az %50’sini ortadan kaldırır ve güvenlik duruşunu %20-70 oranında iyileştirir.
“Mevcut jeopolitik gerginlikler ve açık kaynak koduna olan küresel bağımlılık ortamında, işletmelerin kendilerini gizli güvenlik açıklarını ortaya çıkaran ve potansiyel güvenlik açıklarına ilişkin kapsamlı, gerçek zamanlı bir görünüm sağlayan güçlü yazılım tedarik zinciri güvenliği ve bakım araçlarıyla donatmaları kritik önem taşıyor. Sürekli gelişen standartlara uyum,” dedi Lineaje CEO’su Javed Hasan.
Ekip büyüklüğü kaliteyi ve güvenliği etkiler
Açık kaynak bileşenlerinin %15’inin tek bir uygulamada birden fazla sürümü var ve bu da iyileştirme çabalarını zorlaştırıyor. Orta boyutlu bir uygulama, 139 dilde 1,4 milyon satırlık kod alabilir ve genellikle bellek açısından güvenli olmayan daha riskli dillerde sürüklenebilir. Tasarım gereği güvenli kuruluşlar, özel kodda bellek açısından güvenli diller kullanabilir, ancak dil, açık kaynak bağımlılıkları için bir seçim kriteri olmadığı sürece bağımlılıkları güvenlik risklerini daha da artırır.
Çok küçük ekiplerden oluşan açık kaynaklı projeler (<10) and large teams (>50) orta ölçekli ekiplere göre daha riskli paketler sunar. Küçük ekipler, orta ölçekli ekiplere göre %330 daha fazla riskli projeler sunarken, daha büyük ekipler, orta ölçekli ekiplere göre %40 daha fazla riskli paketler sunar.
“Açık kaynaklı projeler, dünya çapındaki girişimciler, devlet kurumları ve şirketler için endüstride dönüştürücü ürün inovasyonuna olanak sağlıyor. Ancak büyük inovasyon, daha da büyük riskleri beraberinde getirir; ancak bu, risklerin alınmaya değer olmadığı anlamına gelmez,” dedi Broadcom VMWare Ürün Güvenliği Direktörü Manish Gaur.
Okumalısınız: