Açık kaynaklı yazılım (OSS) bugün ana akımdır, ancak yaygın olarak kullanılıyor olması, yaygın olarak anlaşıldığı anlamına gelmez. Ve bu özellikle OSS ve güvenlik söz konusu olduğunda doğrudur. Bu anlayış eksikliği, mevzuat yoluyla ifade edildiğinde, açık kaynak için büyük bir tehdit oluşturmaktadır.
Kullan ≠ Anlamak
Yaygın kullanımına rağmen, açık kaynak ve güvenlikle ilgili yanlış anlaşılmalar var.
Bazıları belirsizliğe dayanarak güvenliği savundu. Kaynak kodunun halka görünür olması durumunda, doğası gereği daha az güvenli hale geldiğini iddia ediyorlar. Buradaki mantık, kötü niyetli aktörlerin arka planda ne olduğunu bilerek güvenlik açıkları hakkında fikir edinebileceğini ve kod tabanındaki zayıflıklardan yararlanabileceğini izler. Bu gerçeği göz ardı ediyor Özel mülk yazılımlarda güvenlik açıkları keşfedildi kaynak koduna erişim olmadan her zaman.
Anlayıştaki bir başka boşluk da açık kaynak nasıl üretilirbir kuruluşta dağıtıldığı yerde ve ortaya çıktıklarında açık kaynak güvenlik açıklarıyla başa çıkmak için yeterli planlama eksikliği.
Kuruluşların sahip olduğu işlerini yürütmelerine yardımcı olmak için açık kaynağı benimsedi ve avantajlarından yararlanın – ancak ödünleşimleri tam olarak anlamadılar veya planlamadılar.
Açık kaynak, özel mülk yazılımdan daha az güvenli değildir, ancak bu, onun tam olarak özel mülk yazılım gibi olduğu anlamına da gelmez. Açık kaynak yazılımı kullanan kuruluşlar, özel mülk yazılımla alışık oldukları satıcı/tedarikçi modeline tam olarak uymasını bekleyemezler.
Log4Shell, Yasa koyucunun Dikkatini Çekti
Bu fark, 2021’in ikinci yarısında manşetlere hakim olan Log4Shell destanı tarafından dikkatleri üzerine çekti. Çoğu kişinin zaten bildiği gibi, açık kaynaklı Apache Logging Services projesi Log4j, 2021’in sonlarında yüksek öneme sahip, kritik bir güvenlik açığına maruz kaldı. Log4Shell olarak adlandırılan.
Güvenlik açığı, tehdit aktörlerinin, kurbanın makinesi üzerinde kötü niyetli aktörlere kontrol sağlayabilecek uzaktan kod yürütme (RCE) gerçekleştirmesine izin verebilir. Vahşi doğada keşfedilen ilk RCE güvenlik açığı olmaktan uzak olsa da, Log4j’nin göreceli olarak her yerde bulunması sayesinde, hasar potansiyeli önemli ve geniş kapsamlıydı.
Ve geçmişe bakıldığında, yıkım çoğu kişinin tahmin ettiğinden önemli ölçüde daha az olmasına rağmen, hararet Atlantik’in her iki yakasındaki yasa koyucuları harekete geçirmek için yeterliydi. Açık Kaynak Yazılım Yasasını Koruma (SOSSA) ABD’de ve Siber Direnç Yasası (CRA) Avrupa Birliği’nde.
SOSSA Nerede Yanlış Yapıyor?
Bu mevzuatların her ikisi de en iyi ihtimalle etkisiz ve en kötü ihtimalle açık kaynak ekosistemine zarar veriyor gibi görünüyor. İlk önce SOSSA’ya ikisi arasında daha az ilgili olarak bakacağız.
İlk olarak, açık kaynağın benzersiz bir şekilde güvensiz olduğu izlenimini yaratır. Değil – aslında, tam tersi doğrudur. Tescilli yazılımın benzer sorunları vardır — eski ve güvensiz bağımlılıklar ve kusurlar içeren geniş çapta dağıtılmış özel mülk yazılımınız olabilir ve kaynak kodunda ne olduğunu veya bu kusurları giderecek araçlara sahip satıcı dışında kimse bilmez.
İkincisi, SOSSA koordinasyonu “uygun olduğu şekilde” zorunlu kılar ve Siber Güvenlik ve Altyapı Güvenliği Ajansına (CISA) koordineli güvenlik açığı açıklamalarına yardımcı olmasını söyler, ancak bu yetkiyi bir kuruş fon sağlamadan verir. Milletvekilleri ciddileşmek istiyorsa açık kaynak güvenliği ve bakım, ilk hamleleri uzun vadede gelişimini ve katılımını finanse etmek olmalıdır. Hata ve güvenlik ödülleri gibi kısa vadeli düzeltmeler, projeler için yardım sağlamaktan çok iş yaratır.
Üçüncüsü, önerilen mevzuat caydırıcılık açısından hiçbir şey sunmuyor. Yasa koyucuların siber saldırıları, agresif bir şekilde cezalandırılabilecek ve cezalandırılması gereken suçlardan ziyade, kolluk kuvvetlerinin kontrolü dışındaki doğal afetler olarak gördüğü izlenimini veriyor.
Nihayetinde, SOSSA (Douglas Adams’ın sözleriyle) “çoğunlukla zararsızdır”. Çok daha iyi olabilir ama çok daha kötü de olabilir. Ne kadar kötü? Avrupa Komisyonu’nun Siber Direnç Yasası’nın bazı fikirleri olabilir.
AB’nin CRA’sı Neyin Tehlikesinde?
Bir dizi kuruluş ve Zeki insanlar CRA’nın mevcut haliyle etkileri hakkında daha önce yazmıştık. Kısacası, güncellemelerin gerçekleştirilmesi, geliştirme uygulamalarının takip edilmesi, risklerin değerlendirilmesi vb. dahil olmak üzere donanım ve yazılıma uyumluluk gereksinimleri empoze etmek istiyor.
SOSSA gibi, CRA da yükü yazılım üreticilerine yükler ve yazılımları güvenceye almak için üreticilere/üreticilere bakar. Ve “ticari faaliyetin dışında sağlanan” açık kaynaklı yazılımları muaf tutmaya çalışsa da, bu çizginin tam olarak nereye çekildiği belirsizliğini koruyor. Örneğin, bir tür destek sunan kar amacı gütmeyen bir kuruluş bu kurallara uymak zorunda mı?
Kısacası, CRA, yalnızca özel mülk yazılımları dikkate alsa bile muhtemelen büyük bir mevzuat değildir. Ancak bu mevzuatı açık kaynak yazılımlara dayatmaya çalışmak, Eclipse Vakfı gibi kuruluşlar için ek yükler getirecek ve bireysel açık kaynak katılımı üzerinde caydırıcı bir etkiye sahip olabilir.
Hükümetler OSS ile Ne Yapar?
Bütün bunlar yasa koyucuların sahip olduğu anlamına gelmez. HAYIR Siber güvenliğin geliştirilmesindeki rolü. Amaçları modern yazılım yığınımızın güvenliğini artırmaksa, bu konuda kesinlikle daha iyi yollar vardır.
Her şeyden önce, yasa koyucuların çabalarının çoğunu caydırıcılık üzerine odaklaması gerektiğine inanıyorum.
Hükümetler ayrıca hassas verilerle ilgili daha iyi mevzuat ve düzenlemeler geliştirmek için akıllıca davranacaktır. Yazılım üreticilerine bir yük yüklemek yerine, saldırganları ilk etapta çeken verileri tutan kuruluşlara yükleyin.
Son olarak, sadece kısıtlamalar ve her zamankinden daha sıkı yetkiler getirmek yerine, dünyanın dört bir yanındaki hükümetler aslında destek açık kaynak ekosistemi. Hayati açık kaynak altyapımızı incelemeye, sürdürmeye ve güvenceye almaya yardımcı olacak ekipleri işe alın, finanse edin ve başka şekillerde destekleyin.
Günün sonunda, hükümetlerin farkındalık yaratması ve açık kaynak teknolojileri konusunda sivil anlayışı geliştirmeye çalışması iyi bir şey. Umarım, bu çabalar ve tartışmalar katılımın artmasına neden olur. Yine de, “bir şeyler yapma” dürtüsünün olması önemlidir! belirli güvenlik olaylarına yanıt olarak, boğucu açık kaynak geliştirmesine yol açmaz.