Tüm endüstri sektörlerinde, açık kaynaklı yazılımlar, yazılım güvenliği için zorluk oluşturmaya devam ediyor. Ticari ve açık kaynaklı yazılım, uygulama ve işletim sistemlerindeki güvenlik açıklarının yazılım tedarik zinciri ihlallerine yol açabileceğinin hepimiz farkındayız, ancak artık Web uygulamalarını, API sunucularını, mobil cihazları ve yazılım bileşenlerini hedef alan saldırganlar görüyoruz. onları inşa etmek için gereklidir.
Synopsys’in açık kaynak güvenliğine ilişkin yıllık çalışmasının son baskısı yayınlandı. Synopsys’in “Açık Kaynak Güvenlik ve Risk Analizi” (OSSRA) çalışması, 1.700’den fazla ticari kod tabanı denetiminin bulgularını inceliyor.
Synopsys’in 2022’de denetlediği 1.703 kod tabanından %96’sı açık kaynak içeriyordu. Havacılık, Havacılık, Otomotiv, Ulaştırma ve Lojistik; Eğitim Teknolojisi; ve Nesnelerin İnterneti, 2023 OSSRA raporunda yer alan ve denetlenen kod tabanlarının %100’ünde açık kaynağa sahip olan 17 endüstri sektöründen üçüydü. Kalan sektörlerde, kod tabanlarının %92’sinden fazlası açık kaynak içeriyordu.
Kodda Yüksek Riskli Güvenlik Açıkları Devam Ediyor
2019’dan bu yana, yüksek riskli güvenlik açıkları, perakende ve e-ticaret sektörlerinde +%557’ye ve bilgisayar donanımı ve yarı iletkenler sektöründe +%317’ye yükselen artışlarla, 17 OSSRA işletmesinin tamamında en az %42 arttı.
Bu yılki OSSRA raporunda yeni olan beş yıllık geçmişe dönük inceleme, açık kaynak ve güvenlik eğilimlerinin daha kapsamlı bir resmini sunuyor. Sektöre göre farklılıklara rağmen, denetlenen kod tabanlarının açık kaynak içeriği genel olarak genişledi. Bazı endüstriler ayrıca kod tabanlarında bulunan güvenlik açıklarının sayısında endişe verici artışlar gösterdi ve bu, güvenlik açığı azaltma konusunda endişe verici bir eksiklik olduğunu gösteriyor.
Zorluk olmaya devam eden önemli bir alan, yama yönetimidir. Denetlenen 1.703 kod tabanından %89’u dört yıldan fazla eski açık kaynak içeriyordu (2022 raporuna göre %5 artış). Ve %91’i mevcut en son sürüm olmayan bileşenleri kullandı. Yani bir güncelleme veya yama mevcuttu ancak uygulanmadı. Yama yönetimi ile birlikte, lisans çakışmaları güvenlik sorunları oluşturmaya devam ediyor. Bu yıl, denetlenen kod tabanlarının %54’ü, geçen yıla göre %2 artışla lisans çakışmalarına sahip kod tabanları içeriyordu.
Yazılımı güncellememek için geçerli nedenler var, ancak %91’lik rakamın önemli bir kısmı muhtemelen geliştirme ekiplerinin bir açık kaynak bileşeninin daha yeni bir sürümünün mevcut olduğunun farkında olmamalarına bağlanabilir. Bir şirket, kodunda kullanılan açık kaynağın kesin ve güncel bir envanterini tutmazsa, bir bileşen, yüksek riskli bir açıktan yararlanmaya maruz kalana kadar fark edilmeyebilir.
Log4j’de olan tam olarak buydu ve bir yıldan uzun bir süre sonra hala bir sorun. Topladığı kamuoyu ilgisine ve işletmelerin Log4j’nin kod tabanlarındaki varlığını doğrulamak ve düzeltmek için atabilecekleri birçok adıma rağmen, tüm kod tabanlarının %5’inde ve denetlenen Java kod tabanlarının %11’inde varlığını sürdürüyor.
Güvenlik için Açık Kaynaklı En İyi Uygulamaları Oluşturun
Yazılım yönetişimi en iyi uygulamalarını oluşturmak, kaynaklarınızı ve verilerinizi sıfırıncı gün güvenlik açıklarından korumak için bir açık kaynak yazılım yönetimi programı başlatmanıza yardımcı olabilir.
1. Politikanızı tanımlayın.
Kuruluşunuz için bir açık kaynak politikası oluşturmak yasal, teknik ve ticari risklerinizi en aza indirir. Kilit paydaşlarınızı belirlemek, ardından kuruluşunuzun açık kaynak yazılım hedeflerini, mevcut kullanımını ve hedef kullanımını tanımlamak istiyorsunuz. Politika, açık kaynak yamalarını ve lisanslarını kapsamalı ve bunların bakımından kimin sorumlu olacağını belirlemelidir.
2. Bir onay süreci oluşturun.
Bir yazılım paketinin kuruluşunuzun ihtiyaçlarını ve kalite standartlarını karşılayıp karşılamadığını değerlendirmek için bir onay süreci oluşturun. Kod kalitesini, desteği, proje olgunluğunu, katkıda bulunanların itibarını ve güvenlik açığı modellerini göz önünde bulundurun. Bu kriterleri göz önünde bulunduran bir onay süreci, ekiplerin kuruluşunuzun kodunda aynı yazılım paketinin birden çok sürümünün bulunmasını engelleyecektir; bunlardan bazıları yama uygulanmamış veya yükseltilmemiş olabilir.
3. Açık kaynak yazılımı için denetim yapın.
Denetimler, açık kaynak yazılımınızı ortaya çıkarır ve şirket düzenlemelerine uygunluğu sağlar. Bu, açık kaynak lisans uyumluluğu ve güvenlik açığı ifşası için bileşenleri bulmanıza yardımcı olabilir. Yazılım geliştirme yaşam döngüsü (SDLC) boyunca açık kaynak taramaları gerçekleştirmelisiniz, ancak özellikle üçüncü sürümden bileşenlere güveniyorsanız, açık kaynak yazılımı kullanan bir sürüm adayında bir uygulama oluşturulduğunda son bir tarama yapıldığından emin olmalısınız. partiler
4. Bir SBOM oluşturun
Yazılım malzeme listesi (SBOM), bir kod tabanında bulunan tüm açık kaynaklı ve üçüncü taraf bileşenlerin bir listesidir. Bir SBOM ayrıca bu bileşenleri yöneten lisansları, kod tabanında kullanılan bileşenlerin sürümlerini ve güvenlik ekiplerinin ilgili güvenlik veya lisans risklerini hızlı bir şekilde belirlemesine olanak tanıyan yama durumlarını da listeler. Bu işlemin otomatikleştirilmesi manuel, hatalı açık kaynak envanterlerini ortadan kaldırır.
Uygun güvenlik uygulamalarını hayata geçirerek, açık kaynaklı güvenlik açığı riskinizin üstesinden gelebilir ve onu yönetmek için sağlam bir sistem oluşturabilirsiniz.
yazar hakkında
Charlotte Freeman, 20 yılı aşkın bir süredir teknoloji ve güvenlik hakkında yazıyor. Halen Synopsys Software Integrity Group’ta kıdemli bir güvenlik yazarıdır.