Açık Kaynak Güvenlik Olayları Bitmiyor

   Kasım 11, 2024  Posted in DarkReading


YORUM

Açık kaynak güvenlik olayları gitmiyorum. Açık kaynak yazılımlara (OSS) olan bağımlılık yıldan yıla artıyor; açık kaynak da dahil olmak üzere tüm yazılımların %95’inden fazlası bir miktar kapasitede. İşletim sistemlerinden kritik kitaplıklara, Web uygulamalarına ve daha fazlasına, açık kaynaklı yazılımlara (OSS) Mevcut teknolojide önemli bir rol oynuyor manzara. Ancak bu yaygın bağımlılık önemli güvenlik risklerini de beraberinde getiriyor. OSS kullanımı gelişmeye devam ettikçe onu güvence altına almanın önemi de artıyor. Bu sorumluluk bireysel hobi geliştiricilerine değil, mühendisleri özellikle açık kaynak güvenliğine adayacak kaynaklara sahip şirketlere ve kuruluşlara aittir. Bu kuruluşlar açık kaynaktan en çok yararlananlardır ve geri katkıyı da en çok sağlayanlar olmalıdır.

Açık Kaynak Güvenliği Geliştiricileri için Temel Beceriler

Açık kaynağın güvenliğini sağlamak, kapalı kaynağın güvenliğini sağlamaya benzer, ancak gerekli becerilerin çoğu, çeşitli faktörlerden dolayı açık kaynak için daha yüksek öneme sahiptir. Açık kaynak halka açıktır ve çoğu kapalı kaynak yazılıma göre daha geniş çapta benimsenme eğilimindedir. Bir avuç müşteri tarafından kullanılan, güvenlik açığı bulunan kapalı kaynak bir araç, bundan çok farklı bir etkiye sahip olacaktır. OpenSSH gibi bir şeye sahip olmak güvenlik açığıdünya çapında milyonlarca sunucudaki kullanımı göz önüne alındığında.

Umarım bu bir sürpriz değildir, ancak sahip olunması gereken en önemli açık kaynak becerileri sosyal becerilerdir. Yazılım geliştirme zamanının çoğu, aslında kod yazmaktan başka şeyler yaparak harcanır. İşte birkaç temel beceri:

  • Kamu işbirliği: Açık kaynak projeleri doğası gereği işbirlikçidir ve dünyanın dört bir yanından katkıda bulunanları içerir. Etkili iletişim, güvenlik uygulamalarının doğru anlaşılmasını ve uygulanmasını sağlar.

  • Yanlış iletişimin önlenmesi: Birçok güvenlik hatası yanlış anlamalardan kaynaklanmaktadır. Açık belgeler ve açık diyaloglar bu sorunların ortaya çıkmasını önleyebilir.

  • Proaktif yaklaşım: Güvenliği günlük görevlerde ön planda tutmak, potansiyel güvenlik açıklarının erken tespit edilmesine yardımcı olur.

  • Sürekli uyanıklık: Güvenliği ön planda tutan zihniyet, kodun potansiyel risklere karşı sürekli değerlendirilmesini teşvik eder.

  • Sorumluluk: Açık kaynak projelerine, kapalı kaynak ticari projelerle aynı ciddiyetle yaklaşılması, daha yüksek güvenlik standartlarının elde edilmesini sağlar.

  • Sorumluluk: Sahiplenme duygusu hisseden geliştiricilerin güvenli ve güvenilir kod üretme olasılığı daha yüksektir.

Yazılım geliştirmede sosyal becerilerin zor becerilerden daha önemli olması, bu zor becerilerin alakasız olduğu anlamına gelmez. Bunlar hala önemlidir ve bunlardan özellikle birkaçı açık kaynak güvenliği açısından önem taşımaktadır. Açık kaynak topluluğu, bir projenin halka açık olmasının avantajından yararlanır; bu da topluluğun bir araya gelerek projeyi güvence altına almak için farklı alanlarda uzmanlıklarını sağlayan uzmanlarla buluşmasını sağlar. Bununla birlikte, açık kaynağın halka açık olması, XZ uzlaşmasında gördüğümüz gibi, kötü aktör bakımcısının zararsız görünen ancak sonuçta kötü niyetli koda katkıda bulunduğu projeleri kötü niyetli aktörlerin eline de maruz bırakır. Bu nedenle açık kaynak güvenliğine odaklanan yazılım mühendislerinin, anonim geliştiricilerden katkı alırken nelere dikkat etmeleri gerektiğini bilmek konusunda dikkatli ve deneyimli olmaları gerekir. Önemli olan becerilerden bazıları şunlardır:

  1. Güvenlik Mühendisliği ve Tehdit Modellemesi

  • Saldırı vektörlerini anlama: Güvenlik açıklarından nasıl yararlanıldığını bilmek çok önemlidir.

  • STRIDE gibi teknikler: Tehdit modelleme metodolojilerine aşinalık, risklerin tanımlanmasına ve azaltılmasına yardımcı olur.

  • Yaygın güvenlik açıkları: SQL enjeksiyonu, siteler arası komut dosyası oluşturma (XSS) ve arabellek taşmaları gibi sorunlara ilişkin farkındalık çok önemlidir.

  • Dile özgü güvenlik açıkları: Her programlama dilinin kendine özgü güvenlik kaygıları vardır. Bu, özellikle yerleşik bellek güvenliği mekanizmalarına sahip olmayan diller ve ekosistemler için önemlidir.

  • Ekosistem yeterliliği: PyPI, npm vb. gibi paketleme ekosistemi ve yazılımın bu ekosistemde nasıl geliştirildiğine ilişkin bilgi, yukarı akış bağımlılıkları gibi projeye yönelik dış riskleri anlamak açısından önemlidir. Tamamen güvenli kod yazabilir, savunmasız veya kötü amaçlı bir bağımlılık ekleyebilir ve güvenli olmayan yazılımlar gönderebilirsiniz. Ne zaman bir bağımlılığın ekleneceğini ve ne zaman işlevselliği kendiniz yazmanın daha iyi olacağını bilmek de çok önemlidir.

  • Boru hatları oluşturun: Güvenlik kontrollerinin sürekli entegrasyon ve dağıtım süreçlerine dahil edilmesi, sürekli güvenliği sağlar. Açık kaynak geliştiricileri birden fazla şapka takıyor ve sürekli entegrasyon akışını anlamaları ve güvence altına almaları gerekiyor. Yapay zeka (AI) analogu eğitim hattı olacaktır.

  • Bağlamsal farkındalık: Yazılımın tüketiciler tarafından nasıl kullanılacağını anlamak, potansiyel güvenlik kusurlarının belirlenmesine yardımcı olur.

  • Otomatik test: Güvenlik açıklarını otomatik olarak tarayan araçların uygulanması, sorunları erkenden yakalayabilir.

  • Kapsamlı test kapsamı: Kodun tüm bölümlerinin test edildiğinden emin olmak, gözden kaçan güvenlik açıklarının riskini azaltır.

Açık kaynak yazılımlara olan bağımlılık arttıkça, ihtiyaç da artıyor. açık kaynak geliştiricileri güvenliğe odaklandı. Açık kaynaklı yapay zeka projelerinin yükselişiyle bu ihtiyaç daha da kritik hale geliyor. Açık kaynaklı yapay zeka, devasa veri kümeleri ve eğitilmiş modellerin olasılıksal doğası nedeniyle yeni karmaşıklık ve opaklık katmanları sunar. Verilerin büyük hacmi ve makine öğrenimi algoritmalarının karmaşıklığı, güvenlik açıklarını belirlemeyi ve modellerin öngörülemeyen durumlarda nasıl davranabileceğini tahmin etmeyi zorlaştırıyor.

Yapay zeka modellerinin “kara kutu” özelliği, geliştiricilerin bile girdilerin çıktı üretmek için nasıl işlendiğini tam olarak anlayamayabileceği anlamına gelir. Bu şeffaflığın kötüye kullanılması, veri zehirlenmesi, düşmanca saldırılar ve istenmeyen önyargı gibi güvenlik ihlallerine yol açabilir. Bu nedenle, açık kaynaklı yapay zekanın güvenliğini sağlamak, özel beceriler ve hem yapay zeka teknolojileri hem de güvenlik ilkeleri konusunda derin bir anlayış gerektirir.

Şirketler ve kuruluşlar, özellikle hızla gelişen yapay zeka alanında, açık kaynaklı yazılımları etkili bir şekilde güvence altına almak için gereken hem teknik hem de teknik becerilere sahip mühendislere yatırım yapmanın öneminin farkına varmalıdır. Bu becerileri teşvik ederek, açık kaynak projelerinin güvenliğini artırabilir, bireysel kuruluşlara ve onlara güvenen küresel topluluğa fayda sağlayabiliriz.





Source link