Bu Help Net Security röportajında, Canonical CISO’su Stephanie Domas, açık kaynak güvenliğine ilişkin yaygın yanlış kanıları ve topluluğun bunları ortadan kaldırmak için nasıl çalışabileceğini tartışıyor. Efsanelerin aksine açık kaynak çözümlerinin nasıl kurumsal düzeyde olgunluk, güvenilirlik ve şeffaflık sunduğunu açıklıyor.
Domas ayrıca, güvenliği artırmak ve inovasyonu istikrarla dengelemek için kuruluşların açık kaynağı benimsemede öncelik vermesi gereken temel faktörleri de paylaşıyor.
Açık kaynak güvenliğiyle ilgili en büyük yanılgılar nelerdir ve topluluk üyeleri ile profesyoneller bunları ortadan kaldırmak için birlikte nasıl çalışabilirler?
Açık kaynak güvenliğiyle ilgili dikkatimi çeken üç temel yanılgı var. Bunlar, açık kaynaklı güvenlik yazılımlarının ve teknolojilerinin kurumsal düzeyde olacak kadar olgun olmaması, daha az güvenilir olmaları ve “güvenli olamayacak kadar açık” olmalarıdır.
Çoğu açık kaynak için bu gerçeklerden bu kadar uzak olamaz. Olgun açık kaynaklı yazılım, herhangi bir özel yazılıma benzeyen sağlam kalite süreçlerine sahiptir: Zamanında yama programlarından, genellikle 10 veya 12 yıla ulaşan sağlam uzun vadeli destekten, olgun yol haritalarından ve performansı sürekli geliştiren büyük, aktif topluluklardan, özelliklerden bahsediyoruz ve yazılımın işlevselliği.
Olgunluk algısı profesyonel çevrelerde acı bir efsanedir. Açık kaynak güvenilir olmasaydı kuruluşların %90’ının açık kaynak kullandığını ve tüm yazılım kod tabanlarının %99,9’unun açık kaynak kodu içerdiğini göremezdik. Açık kaynağın arz ve talep yönlü değerleri olağanüstü: yakın zamanda okuduğum bir makale, açık kaynak yazılım olmasaydı şirketlerin yazılım geliştirmelerine ortalama olarak üç buçuk kat daha fazla harcama yapmaları gerekeceğini tahmin ediyordu.
Ve son olarak, kaynak kodun şeffaflığının siber güvenlik açısından olumsuz olduğu fikri açıkça yanlıştır. Belirsizlik yoluyla güvenlik evrensel olarak zayıf bir strateji olarak kabul edilir. Daha da ileri giderek güvenliğin koda daha fazla dikkat edilmesiyle artırıldığını ve kod tabanınızın sorun bulma tutkusu olan binlerce kişi tarafından incelenmesinin daha güvenli koda giden oldukça harika bir yol olduğunu söyleyebilirim.
Yazılım profesyonellerinin genel olarak açık kaynak ortamını anlamak, bunun kurumsal düzeyde olgunluğa sahip olduğunu anlamak ve güvenlik gibi alanlara şeffaflığın benzersiz değer teklifini kabul etmek için zaman ayırması gerektiğini düşünüyorum. Tüm açık kaynaklar eşit yaratılmamıştır ancak tescilli teklifler kadar dayanıklı, test edilmiş ve özellikli çok sayıda açık kaynak vardır. Kurumsal düzeyde daha fazla benimsenmek istiyorsak, açık kaynak yazılımın hayatları nasıl değiştirdiği ve işletmelerde devrim yarattığı hakkında daha fazla hikaye anlatmamız gerekiyor.
Kuruluşların güvenliği güçlendirmek için açık kaynak ortamında ve paket yönetimi çözümünde hangi niteliklere öncelik vermesi gerekir?
Açık kaynak ortamınızda ve paket yönetimi çözümünüzde arayabileceğiniz en güçlü niteliklerin minimum saldırı yüzeyi, birlikte çalışabilirlik derecesi ve güvenlik bakımı ve olgunluğunun kanıtı olduğunu düşünüyorum.
Minimal bir saldırı yüzeyi bariz bir ihtiyaçtır: Güvenlik aracınızın saldırganlara mümkün olduğunca az vektör ve fırsat sunmasını istiyorsunuz. Ancak tehditlerin sürekli geliştiği göz önüne alındığında, CISO’lar bunlarla mücadele etmek için sürekli olarak yeni araçlar ve teknolojiler araştırıyor. İstediğiniz son şey, yıllarca süren bir sözleşme veya geliştiricilerinizin tüm zamanını ve kaynaklarını tüketen büyük bir geçiş nedeniyle belirli bir çerçeveyi, yığını veya satıcıyı yalnızca bu karara kilitlenmek üzere seçmektir.
Birlikte çalışabilirlik de önemlidir; yalnızca araçlarınızın birlikte güzel bir şekilde çalışmasını istediğiniz için değil, aynı zamanda çok sayıda küçük parçayı, paketi ve kitaplığı güvence altına almak yerine tüm yığını tek bir varlık olarak güvence altına almak istediğiniz için. Kötü yapılandırılmış konektörler, API’ler ve operatörler yalnızca her şeyi bir arada tutan yapıştırıcı değildir, aynı zamanda kötü aktörlerin geçmeye çalışacağı bir çatlaktır.
Son olarak güvenlik bakımı ve olgunluk var. Bu biraz yanıltıcıdır çünkü aranacak bariz bir şey yoktur, daha ziyade proje parçalarının toplamıdır. Bu parçalardan bazıları şunlardır: koordineli güvenlik açığı açıklama programları, aktif bakımcılarla aktif bir kod tabanı, hata izleme sistemleri, sağlam belgeler ve açık güvenlik yaması taahhütleri.
Birçok CISO, açık kaynak güvenlik açıkları hakkındaki endişelerini dile getiriyor. Güvenlik liderleri açık kaynak teknolojilerini kullanırken inovasyonu güvenlikle nasıl dengeleyebilir?
Ne kadar zorlu bir dengeleme eylemi olabileceği göz önüne alındığında buna şaşırmadım. Belirteceğim şey, açık kaynağın doğası gereği bir güvenlik açığına sahip olma ihtimalinin özel koddan daha fazla olmadığıdır. Ancak açık kaynakla bunu bileceksiniz. Bilginin güç olduğuna inanıyorum ve kullandığım şeylerin riskini anlarsam risk duruşumu daha iyi kontrol edebilirim, ancak elbette açık kaynak güvenlik açıklarının kamusal doğası hakkında geçerli endişeler var . Açık kaynağın sorumlu tüketimi ve bakımının anahtarı, liderlerin benimseme planlarını yakından düşünmesi ve oradan bilinçli, iyi araştırılmış kararlar alması gerektiğidir.
Dikkate almanız gereken ilk şey, seçtiğiniz lisans türünü gerçekten bilinçli ve ayrıntılı bir şekilde kullanmaktır; tercihen hukuk ekibinizle seçeneklerinizi değerlendirerek biraz zaman geçirdikten sonra. Lisans türleri için net politikalar tanımlamak harika bir ilk filtredir ve seçenekler arasında boğulma hissiyle mücadele etmeye yardımcı olur. Bu nedenle CISO’lara her zaman, halihazırda hangi açık kaynak yazılımı kullandığınızı, hangi lisanslarla çalıştığınızı, hangi kullanım durumlarını ve kriterleri kabul ettiğinizi ve hangi sınırlamaların bulunduğunu özetleyen açık ve karmaşık olmayan bir Açık Kaynak Yazılım iç strateji belgesi oluşturmalarını öneririm.
Bir sonraki husus, bu araç için ne kadar desteğe ihtiyacınız olduğunu ve bu aracın bu desteği sağlayıp sağlamadığını sormaktır. Topluluk için en iyi çaba modeli yeterli mi? Yoksa daha resmi bir destek yapısına mı ihtiyacınız var ve bu destekçi topluluğu ne kadar büyük olmalı? Bu, abartılı bir döngünün kurbanı olup terk edilmek yerine, yaşam döngüsü boyunca büyümenin tadını çıkaracak bir aracı benimsemek için iyi bir temel olma eğilimindedir.
Genellikle yenilik ve istikrar arasında bir denge vardır: Hala hatalar olabileceğini bilerek en son teknolojiyi mi kullanmak istiyorsunuz, yoksa kararlı sürümleri mi tüketmek istiyorsunuz? Muhtemelen kullanım durumunuza bağlıdır. Ancak bu konuda bilinçli olmalısınız ve durumunuz için yanlış türde bir çözüm bulmadığınızdan emin olmalısınız.
Açık kaynak projelerinde güvenlik açığı açıklama ve raporlama mekanizmalarının kurulması konusunda kuruluşlara ne gibi önerileriniz var?
Bir numaralı tavsiyem açık ve anlaşılması kolay bir raporlama politikası belgesi oluşturmaları. Topluluğa ve kullanıcılara, bir çözümün mevcut güvenlik durumu hakkında bilgi edinmek için nereye gideceklerini ve güvenlik endişelerini nereye bildireceklerini açıkça belirtin. Neyin, ne zaman, nerede, nasıl ve hangi zaman sınırında hayati önem taşıdığının iletilmesinden kimin sorumlu olduğuna ilişkin önceden belirlenmiş kararların olması da kritik öneme sahiptir.
Profesyonellerin 2025’te radarında tutması gereken açık kaynak güvenliğindeki son trendleri paylaşabilir misiniz?
Büyük güvenlik etkileri olan çok etkileyici bir teknoloji olarak gizli bilgi işlem konusuna özel bir ilgim var. Gizli bilgi işlem, verilerin kullanım sırasında şifrelenmesine olanak tanır ve genel olarak bu ilginç olsa da yapay zekayı önemli ölçüde etkileme potansiyeline de sahiptir. Yapay zeka son derece popüler hale geldi ve daha fazla insan yapay zeka ile daha heyecan verici projeler ve araçlar oluşturdukça, bir sonraki değerlendirme kaçınılmaz olarak “Yapay zeka modellerini nasıl dağıtırım ve onları güvende tutarım?” olacaktır. ve “Gizliliği korurken yapay zeka modellerini paylaşılan veriler üzerinde nasıl eğitebilirim?”.
Yapay zeka, geliştiriciler için olduğu kadar kötü niyetli aktörler için de ileriye doğru bir atılımı temsil ediyor; yeni nesil siber güvenlik uygulamalarımız, güvenlik açıkları ve açığa çıkmalarla ilgili bu yeni çağa hazırlanmalı ve gizli bilişimin bu ihtiyaca güçlü bir yanıt olduğunu düşünüyorum.