Açık Kaynak Yazılım Güvenliğinde Verimlilik Vergisinin Azaltılması – Endor Labs’tan Varun Badhwar ile Derinlemesine Bir İnceleme

   Ağustos 28, 2023  Posted in CyberSecurity-Insiders


Karmaşık uygulama güvenliği alanında, açık kaynak yazılım güvenliğini çevreleyen zorluklar yenilikçi çözümler gerektirir. Endor Labs’ın Kurucusu ve CEO’su Varun Badhwar ile yakın zamanda yapılan bir röportajda, bu spesifik sorunlara ve Endor Labs’in bu sorunlarla doğrudan mücadele etmek için kendisini nasıl konumlandırdığına ilişkin ayrıntılı bilgiler verdi.

Uygulama Güvenliğinin Çökmüş Durumu

Yazılım geliştiricileri şu anda zamanlarının yarısından fazlasını çok sayıda güvenlik uyarısını araştırmaya ve CI/CD işlem hatlarındaki araçların bakımını yapmaya harcıyor. Badhwar sorunu şöyle karakterize ediyor:

“Uygulama güvenliği günümüzde temelden bozuldu; mühendislik ekiplerinden sürekli olarak CI/CD hattında çok sayıda AppSec aracını devreye almaları isteniyor, bu da geliştiriciler için ciddi iş yükü yaratıyor, özellik dağıtımını yavaşlatıyor ve anlaşmazlıkları artırıyor.”

Endor Labs, güvenlik açığı gürültüsünü %80 oranında azaltma hedefiyle OSS güvenliğine odaklanarak bu üretkenlik vergisini hafifletmeyi amaçlıyor.

Açık Kaynak Güvenliği ve Endor Laboratuvarlarının Yenilikçi Yaklaşımı

Açık kaynaklı yazılım (OSS), modern uygulama kodunun önemli bir bölümünü oluşturur, bazen %90’ı aşar. Verimliliği ve işbirliğini teşvik ederken aynı zamanda doğru yönetilmediği takdirde güvenlik açıklarını da beraberinde getirir.

Açık Kaynak Güvenliğindeki Zorluklar:

  1. OSS Bileşenlerinin Çoğalması: Uygulama kodunun %80-90’ı açık kaynak depolarından ödünç alındığından, hangi bileşenlerin nasıl kullanıldığını bilmek önemlidir.
  2. Yanlış Pozitifler: Geleneksel güvenlik araçları çok fazla sayıda hatalı pozitif sonuç üreterek geliştiriciler üzerinde büyük bir yük oluşturur.
  3. Eksiklik ve Yanlışlık: Mevcut araçlar genellikle açık kaynak kodunun nasıl kullanıldığına dair öngörüden yoksundur, bu da hem gürültülü hem de eksik risk değerlendirmelerine neden olur.
  4. Geçişli Bağımlılıklar ve İtibar Riskleri: Gizli güvenlik açıkları ve bağımlılıklar genellikle gözden kaçırılır ve güvenliğe yönelik gizli bir tehdit oluşturur.

Endor Laboratuvarlarının Açık Kaynak Güvenliğine Yaklaşımı

Endor Labs’ın öncü yaklaşımı, OSS içindeki gerçek risklere ve kullanım modellerine odaklanır. Bu, DevSecOps ekiplerine riskleri önceliklendirme, CI/CD işlem hatlarını güvence altına alma ve SBOM’lar gibi uyumluluk hedeflerini karşılama gücü verir. Metodolojileri şunları içerir:

  1. Akıllı Analiz: Endor Labs, geliştiricilerin açık kaynak kodunu tam olarak nasıl kullandığını anlayarak gerçek riskleri belirler. Modern uygulamalardaki kodun %90’ı açık kaynaklı yazılımdır, ancak bu kodun yalnızca %12’si aslında uygulamalarda kullanılmaktadır. Endor Labs, kod geliştiricilerin gerçekte hangi bölümleri kullandığına ilişkin bağlamdan yoksun olan mevcut Yazılım Bileşimi Analizi (SCA) çözümlerinin yerini alıyor.
  2. Kanıta Dayalı İçgörüler: Endor Labs, genel değerlendirmeler yerine kodun nasıl kullanıldığına bağlı olarak güvenlik açıklarının gerçek etkisini ve riskini değerlendiren, kanıta dayalı bir yaklaşım kullanır.
  3. Gürültünün Ortadan Kaldırılması: Endor Labs, önemli olana odaklanarak geleneksel araçlarla ilişkili gürültüyü %80’e kadar ortadan kaldırarak geliştiricilerin zamanından tasarruf etmesini sağlar.
  4. Gizli Risklerle Mücadele: Çözüm, geçişli bağımlılıklarda mevcut olan güvenlik açıkları gibi gizli tehlikeleri ele alarak, aksi takdirde gözden kaçabilecek riskleri ortaya çıkarır. Endor Labs araştırması, güvenlik açıklarının %95’inin geçişli bağımlılıklarda yaşadığını, ancak çoğu kuruluşun bunları göremediğini ortaya koyuyor.
  5. Riske Bütünsel Bakış: Endor Labs, yalnızca kodu değil aynı zamanda belirli açık kaynak bileşenlerinin kullanılmasıyla ilişkili itibarı ve potansiyel tehlikeleri de değerlendirerek kapsamlı bir risk görünümü sağlar.
  6. Mevzuata uygunluk: Açık kaynağın bir ulusal güvenlik sorunu olarak etiketlenmesiyle Endor Labs, yaklaşımlarının Yazılım Malzeme Listesi gibi girişimler de dahil olmak üzere düzenleyici gerekliliklerle uyumlu olmasını sağlar.

Endor Labs’ın açık kaynak ve uygulama güvenliğine yaklaşımı yalnızca devrim niteliğinde değil aynı zamanda günümüzün birbirine bağlı geliştirme yaşam döngüsünde gereklidir. Gerçek risklere odaklanarak, gürültüyü azaltarak ve kapsamlı ve akıllı bir analiz sağlayarak kuruluşların uygulamalarını ve açık kaynak bileşenlerini yönetme ve güvence altına alma biçiminin geleceğini şekillendiriyorlar.

Kuruluşlara ve Geliştiricilere Tavsiyeler

Kuruluşlar ve geliştiriciler için gelecek, DevSecOps araç zincirini birleştirmede, araç dağıtımlarını basitleştirmede ve önemli riskleri önceliklendirmede yatıyor. Röportajda Varun, hem geliştiricilere hem de kuruluşlara uygulanabilir rehberlik sağladı:

  1. Güvenliği Sağlarken Açık Kaynağı Kucaklayın: Açık kaynak yazılımın avantajlarından yararlanın ancak güvenlik ve uyumluluğa odaklanın. Kodun nasıl kullanıldığını anlayan akıllı araçlar uygulayarak gürültüyü azaltın ve gerçek tehditleri tespit edin.
  2. Geliştirme Borularını Kolaylaştırın: DevSecOps araç zincirini birleştirerek aşırı karmaşıklığı ve kopyaları önleyin. Dağıtımları basitleştiren, tutarlı güvenlik politikaları uygulayan ve “varsayılan olarak güvenli” yazılım oluşturmaya olanak tanıyan araçları seçin.
  3. Ekipler Arası İşbirliğini Teşvik Edin: Mühendislik ve güvenlik ekiplerini aynı hizaya getirmeye ve onları dahili ortaklar olarak görmeye çalışın. Genel üretkenliği ve güvenliği artıran bir sinerji yaratarak en önemli gerçek konulara odaklanın.
  4. Yasal Gereksinimlere Uyun: Özellikle açık kaynak güvenliği ulusal bir sorun olmaya devam ederken, şeffaflığın ve uyumluluğun öneminin bilincinde olarak, Yazılım Malzeme Listesi (SBOM’ler) gibi düzenleyici standartları takip edin.
  5. ‘Güven ama Doğrula’ Yaklaşımını Benimseyin: Açık kaynak kullanımını, güvenliğinin dikkatle doğrulanmasıyla dengeleyin. Güvenli ve yenilikçi bir ortamı teşvik ederek, geliştirme sürecini yavaşlatmadan OSS’nin faydalarından yararlanan bir geliştirme modelini teşvik edin.

Endor Labs, uygulama güvenliğine yaklaşımımızı yeniden şekillendirmenin ön saflarında yer alıyor. 70 milyon dolarlık yeni bir finansman turu ve geliştiricilerin güvenlikten ödün vermeden daha üretken olmalarını sağlamaya yönelik net bir misyonla, yazılım geliştirmede daha güvenli ve verimli bir geleceğe giden yolu açıyorlar.

Endor Laboratuvarları hakkında daha fazla bilgi için https://www.endorlabs.com adresini ziyaret edin.

Reklam



Source link