Saldırı artışı ‘önlenebilir’ hatalara suçlandı
Araştırmacılar, açık kaynaklı yazılım depolarına karşı başlatılan siber saldırılarda yıldan yıla %633’lük bir artış olduğu konusunda uyarıyor.
Açık kaynak bileşenleri, çerçeveler, kitaplıklar ve tüm platformlar, yazılım geliştirme yaşam döngüsünün birçok aşamasında kuruluşlar tarafından güvenilir. Bu bileşenler iletişim, yazılım yetenekleri, güvenlik ve kullanıcı etkileşimleri için temel noktaları sağlar ve bunlar topluluklar tarafından geliştirilip gözden geçirildiğinden, açık kaynak yazılım alanında yeniliği teşvik eder.
Ancak, madalyonun diğer yüzü, açık kaynak katkıda bulunanların gönüllü olmasıdır; bu nedenle, güvenlik sorunları bazen ağ üzerinden kayıp gidebilir. Ayrıca, BT ekipleri hangi açık kaynaklı yazılımın kullanımda olduğunun farkında olmayabilir ve bu nedenle işlerini etkileyen yama uyarılarını ve yükseltmeleri kolayca kaçırabilirler.
En son açık kaynaklı yazılım haberlerini ve analizlerini yakalayın
Yeni araştırmalar, siber saldırganların – açık kaynaklı yazılımlara kurumsal bağımlılığın çok iyi farkında – her yıl depoları tehlikeye atma girişimlerini artırdığını gösteriyor.
Sonatype’ın Yazılım Tedarik Zincirinin 8. Yıllık Durumu raporuna göre, açık kaynak depolarına yönelik bilinen saldırılar yıldan yıla %633 arttı ve 2019’dan bu yana yıllık genel olarak %742’lik bir artış oldu.
Yazılım tedarik zinciri güvenlik firması, kamuya açık ve özel kaynaklardan gelen verileri analiz ettikten sonra, açık kaynaklı yazılımların popülaritesinin ve büyümesinin artmaya devam ettiğini söyledi. Açık kaynak geliştirmeye bağlı dört ana ekosistem – Java, JavaScript, Python ve .NET – yakın gelecekte üç trilyon indirmenin ötesine geçecek.
Ancak, bu popülerliğin güvenlik sonuçları vardır.
Teknik borç
Araştırmacılar, “Yazılım tedarik zincirlerinden akan üçüncü taraf kodunun miktarı çok büyük bir ölçekte gerçekleşiyor” dedi. “Yine de yayınlanan kod, zaman içinde teknik borç tahakkuk ettirerek, güncel tutulmadığı takdirde bileşik güvenlik açıkları potansiyeli yaratır.”
Araştırmacılara göre, örneğin savunmasız olduğu bilinen 1,2 milyar Java bağımlılığı her ay indirilirken yeni, yama uygulanmış veya geliştirilmiş sürümler göz ardı ediliyor.
Sonatype, bunun “açık kaynak riskinin kökü olarak optimal olmayan tüketim davranışlarının” en iyi örneği olduğunu söyledi.
Raporda, “Bu, genellikle güvenlik riskini açık kaynak sağlayıcılarla ilişkilendiren genel tartışmanın aksine” dedi.
Riskli iş
Riskli davranış mutlaka kimsenin hatası değildir. Bağımlılıkları yönetmekle görevli geliştiriciler, rollerinde her zamankinden daha fazla karmaşıklıkla karşı karşıya kalıyor; ortalama Java uygulaması 148 bağımlılık içeriyor – 2021’in ortalamasından 20 fazla – ve yılda ortalama on güncellemeden geçiyor.
Her bağımlılık, güvenlik açıkları içerebilir, bu nedenle geliştiricilerin uygulama başına yılda potansiyel olarak binlerce değişikliği izlemesi gerekir. Bu nedenle hatalar yapılacaktır.
Sonatype’ın kurucu ortağı ve CTO’su Brian Fox, “geliştiricilerin günlük geliştirme süreçlerinde yorumlamaları gereken ezici bağımlılık zekası dalgasının, iyi yazılım kalitesine öncelik vermekle çeliştiğini” söyledi.
Bu nedenle, modası geçmiş, savunmasız açık kaynaklı yazılımların potansiyel riskine ilişkin eğitimin anlaşılması çok önemlidir ve ekiplerin yükü hafifletmek için otomasyonu benimsemeyi düşünmesi gerekir.
Fox ekledi: “[The] Ayıltıcı gerçeklik, kuruluşların güvenlik riskiyle daha iyi başa çıkabilmeleri, geliştirici verimliliğini artırabilmeleri ve daha hızlı yeniliği mümkün kılabilmeleri için yazılım tedarik yönetimine öncelik vermeleri gerektiğini gösteriyor.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Linux Vakfı’ndan David A Wheeler, CVE artışını tersine çevirme konusunda