Açık kaynak güvenlik açıkları
Araştırma, yalnızca bir örnek olarak, tüm güvenlik açıklarının %95’inin geçişli bağımlılıklarda (geliştiricilerin seçmediği ancak dolaylı olarak projelere çekilen açık kaynak kod paketleri) bulunduğunu ortaya koyuyor.
Bu, Endor Labs tarafından geliştirilen ve dünyanın dört bir yanından araştırmacıları, akademisyenleri ve düşünce liderlerini bir araya getiren bir araştırma yeteneği olan Station 9’dan gelen ilk rapordur.
Endor Labs CEO’su Varun Badhwar, “Bu ortamda, açık kaynaklı yazılım kritik altyapımızın bel kemiğidir – ancak deneyimli geliştiriciler ve yöneticiler bile modern uygulamalardaki kodun %80’inin mevcut OSS’den geldiğini öğrenince genellikle şaşırırlar” dedi.
“Burası çok büyük bir arena, ancak büyük ölçüde göz ardı edildi. Açık kaynak kodunun yeniden kullanımı potansiyeline ulaşacaksa, güvenliğin öncelik listesinin başına geçmesi gerekiyor,” diye ekledi Badhwar.
Sorun, mutlaka mevcut açık kaynak kodunun yeni uygulamalarda yaygın olarak kullanılması değildir; bu yazılım bağımlılıklarının yalnızca küçük bir örneklemesinin aslında ilgili geliştiriciler tarafından seçilmesidir.
Geri kalanlar “geçişli” veya otomatik olarak kod tabanına çekilen dolaylı bağımlılıklardır. Bu, hem güvenlik hem de geliştirme dünyasını eşit ölçüde etkileyen potansiyel ve tanımlanabilir güvenlik açıkları için zemin hazırlar.
Önemli rapor bulguları
Diğer bulguların yanı sıra, rapor şunları ortaya koymaktadır:
- Tüm güvenlik açıklarının büyük çoğunluğu, %95’i gerçekten de geçişli bağımlılıklarda bulunur ve bu da geliştiricilerin bu sorunların gerçek etkisini ve hatta erişilebilir olup olmadıklarını değerlendirmesini çok zorlaştırır.
- Kritik projeleri belirlemeye yönelik en popüler iki topluluk girişimi (Census II ve OpenSSF Criticality Scores) arasındaki bir karşılaştırma, kritikliği belirlemenin basit olmaktan çok uzak olduğunu ortaya koyuyor. Aslında, Census II’deki paketlerin %75’inin Kritiklik Puanı 0,64’ün altındadır; kuruluşlar hangi açık kaynak projelerinin kritik olduğuna kendileri karar vermelidir.
- Bağımlılık karmaşası, son tedarik zinciri saldırılarında kötü adamlar için büyük bir fayda sağladı. Aynı zamanda, yaygın olarak kullanılan girişimlerde kapsanan risk göstergeleri genellikle bu saldırıları işaretleyemez.
- Önümüzdeki sorun – en çok kullanılan Census II paketlerinin %50’sinin 2022’de bir sürümü yoktu ve %30’unun en son sürümü 2018’den önce vardı – bunlar gelecekte ciddi güvenlik ve operasyonel sorunlara neden olabilir.
- Yeni, güvenli anlamına gelmez – Bir paketin en son sürümüne yükseltirken, bilinen güvenlik açıklarına sahip olma olasılığı %32’dir.
- Ulaşılabilirlik önceliklendirme yapılırken en önemli kriter; bunu yalnızca güvenlik metriklerine (CVSS puanları gibi) dayalı olarak yapmak veya test bağımlılıklarındaki güvenlik açıklarını göz ardı etmek, güvenlik açığı olasılığını yalnızca %20 azaltır.