2023’te, 2019-2022’nin toplamına kıyasla iki kat daha fazla yazılım tedarik zinciri saldırısı görüldü. Sonatype, 2023 yılında 245.032 kötü amaçlı paket kaydetti. Bugün açık kaynaklı sekiz indirmeden biri, bilinen ve önlenebilir riskler taşıyor.
Güvenlik açıkları hâlâ önlenebilir
Güvenlik açıklarının neredeyse tamamı (%96) hala önlenebilir. Daha iyi, sabit bir sürüm mevcut olduğundan, 2023’te bilinen güvenlik açıklarına sahip 2,1 milyar OSS indirmesi önlenebilirdi; bu, 2022’dekiyle tam olarak aynı orandaydı. Yapılan optimum olmayan bileşen yükseltmelerinin her biri için, genellikle 10 üstün sürüm mevcuttur.
Açık kaynak projelerinin yalnızca %11’i ‘aktif olarak sürdürülüyor’. Sonatype, dört büyük ekosistemdeki 1.176.407 açık kaynaklı projeyi analiz etti. Bulgular, zaman içinde bağımlılıkların durumunu takip etme konusunda tüketicilerin sürekli dikkatli olmasının önemini ortaya koyuyor.
Güvenlik riskini genellikle açık kaynak bakımcılarıyla ilişkilendiren kamusal söylemin aksine, optimal olmayan açık kaynak tüketim alışkanlıkları, açık kaynak riskinin temel nedenidir. Bakımcılar ortalama olarak sorunları derhal ele alır ve çözer.
Sonatype CTO’su Brian Fox, “Birçok bakımcı çok çalışkandır; Büyük Teknoloji şirketleri, güvendikleri kütüphanelerin bakımı için yetenekli kişileri işe almak için ellerinden geleni yapıyorlar” diyor. “Sektörümüzün çalışmalarını doğru yere yönlendirmesi gerekiyor. Bilinen bir güvenlik açığına sahip neredeyse tüm bileşenlerin indirilmesine yönelik bir düzeltmenin mevcut olması, geliştiricilerin daha iyi karar vericiler olmalarına destek verilmesi ve onlara doğru araçlara erişim sağlanması konusunda acilen odaklanmamız gerektiğini bize gösteriyor. Amaç, geliştiricilerin, en fazla bakım sağlayıcıya ve en sağlıklı katkıda bulunan ekosisteme sahip projelerden açık kaynaklı yazılım indirme konusunda daha istekli olmalarına yardımcı olmaktır. Bu yalnızca daha güvenli bir yazılım oluşturmakla kalmayacak, aynı zamanda geliştiricilerin her yıl boşa harcadığı yaklaşık 2 haftalık zamanı da telafi edecek.”
Algılanan güvenlik ile gerçeklik arasındaki bağlantının kesilmesi
Artan yazılım tedarik zinciri saldırılarının ortasında, yazılım geliştirmede algılanan güvenlik ile gerçeklik arasında da devam eden bir kopukluk var:
Kuruluşlar yazılım tedarik zincirlerinin kontrol altında olduğunu düşünüyor: Ankete katılanların %67’si, uygulamalarının bilinen güvenlik açığı bulunan kitaplıklara dayanmadığından emin. Ancak katılımcıların yaklaşık %10’u, kuruluşlarının son 12 ayda açık kaynak açıkları nedeniyle güvenlik ihlalleri yaşadığını bildirdi.
Açık kaynak güvenlik açıklarının farkındalığı ve azaltılması birçok kuruluşta aciliyetten yoksundur: Rapor, kuruluşların %39’unun güvenlik açıklarını bir ila yedi gün içinde keşfettiğini; %29’unun farkına varması bir haftayı alıyor ve %28’i bir gün içinde keşfediyor; Azaltma söz konusu olduğunda, katılımcıların %36,2’sinin güvenlik açıklarını azaltmak için bir haftadan fazla süreye ihtiyacı var.
Geliştiriciler ilerlemeyi artırmada önemli bir rol oynuyor
Sürekli olarak sürdürülen açık kaynaklı projeler, kritik yazılım güvenliği en iyi uygulamaları konusunda benzerlerinden daha iyi performans gösterdi. Daha az bakımı yapılan kütüphanelerle karşılaştırıldığında, sürekli olarak bakımı yapılan projeler şu puanları alma eğilimindedir:
- SAST’ta 5,9 kat daha yüksek
- İmzalı Sürümlerde 5,4 kat daha yüksek
- Bağımlılık Güncelleme Araçlarında 5,1 kat daha yüksek
- Kod İncelemesinde 3,6 kat daha yüksek
- Dal Korumada 3,8 kat daha yüksek
Optimum bağımlılık yönetimi zamandan ve paradan tasarruf sağlar ve güvenlik riskini azaltır: Optimum yükseltmelerle birleştiğinde, bir yıl boyunca yanlış pozitiflerde %25’lik bir azalma, bileşen yükseltmelerini ve yüksek riskli güvenlik açığı oluşumunu çözmede iki kat daha fazla zaman tasarrufu sağlar.
Fox şunu ekliyor: “Etkili bir değişim, net bir yönlendirme gerektirir.” “Hem iyi hem de kötü, günümüzün yazılım kuruluşları bu sorunları çözmek için çok sayıda çerçeveden haftalık hükümet rehberliğine ve daha fazlasına kadar çok sayıda seçenekle karşı karşıyadır. Tüm bu seçimler felç yaratmaya hazır ve başlamayı zorlaştırıyor.”
Verimliliği ve güvenlik duruşunu iyileştirme
Yazılım tedarik zincirindeki güvenlik açıklarındaki artışın ortasında, geliştiricilerin verimliliği ve güvenlik duruşunu iyileştirmek için önlemler aldığına dair işaretler var. Rapor, AI/ML bileşenlerinin yazılım geliştirmeye ne kadar hızlı entegre edilebildiğinin yanı sıra, büyük ölçüde teknolojinin yazılım geliştiricilere sağladığı muazzam verimlilik sayesinde, yazılım geliştirmede AI/ML bileşenlerinin kullanımının bir yıldan kısa bir sürede %135 oranında arttığını gösteriyor. iş akışları. Bununla birlikte geliştiriciler ve kuruluşlar kendi yapay zeka ürünlerini geliştirmede önemli zorluklarla karşı karşıya kalıyor.
Sonatype Ürün Yeniliklerinden Sorumlu Başkan Yardımcısı Stephen MaGill, “Doğru AI/ML araçlarını seçmek gerçekten zor; yüz binlerce seçenek var ve bu araçları seçme yükü veri bilimcilerine düşüyor” diyor. “AI/ML aynı zamanda tonlarca yeni güvenlik ve lisanslama endişesini de beraberinde getiriyor; ücretli hizmetlerin uygulanmasına ilişkin büyük maliyetlerden bahsetmiyorum bile. Yüksek Lisans modellerinin önemli bir kısmı açık kaynak olduğundan, bu, açık kaynakla bağlantılı tüm güvenlik endişelerinin yapay zeka için de önemli olacağı anlamına geliyor.”