Nisan 2023’te Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), sektör genelinde güvenlik için yeni bir standart belirleyen Tasarıma Göre Güvenli girişimini duyurdu. Girişim, satıcıları piyasaya sürülmeden önce güvenli yazılımlar oluşturmaya teşvik ederek son kullanıcıları ürün güvenliği sorumluluğundan kurtarıyor.
CISA’nın Tasarımla Güvenli Girişimi, federal hükümetin siber güvenliği üç yazılım güvenliği ilkesiyle güçlendirme konusundaki kararlılığını yansıtmaktadır:
- Müşteri güvenliği sonuçlarının sorumluluğunu üstlenin.
- Radikal şeffaflığı ve hesap verebilirliği benimseyin.
- Bu hedeflere ulaşmak için organizasyonel yapıyı ve liderliği oluşturun.
Artık ikinci yılına girilirken, tedarikçilerin CISA ve diğer kuruluşlardan yazılımın nasıl tasarlandığı, geliştirildiği ve sunulduğu konusunda daha fazla rehberlik beklemeleri ve ürün güvenliğinin gönüllü bir taahhütten bir gerekliliğe dönüşme potansiyeli de dahil olmak üzere gelecekte neler olacağı konusunda güncel kalmaları gerekiyor.
Sürekli Rehberlik ve Gereksinimler
100’den fazla imzacı, çok faktörlü kimlik doğrulama kullanımını artırmak, varsayılan parolaları azaltmak ve bir yıl içinde tüm güvenlik açığı sınıflarını azaltmak da dahil olmak üzere CISA’nın Tasarımla Güvenli taahhüt hedeflerini karşılamak için iyi niyetli bir çaba göstermeyi taahhüt etti. Radikal şeffaflık ruhuna uygun olarak, bu kuruluşlar ilerlemelerini kamuya açık bir şekilde belgelemeye teşvik edilmektedir.
Nisan 2024’te CISA ve Yönetim ve Bütçe Ofisi (OMB), CISA Kıdemli Teknik Danışmanı Jack Cable’ın federal yüklenicilerin hükümete güvenli ürünler teslim etmesini sağlamada bir başka “önemli adım” olarak konumlandırdığı Güvenli Yazılım Geliştirme Tasdik Formu’nu yayınladı.
Bu çabalar, hükümet kurumlarının yazılım geliştirme ve güvenlik uygulamalarına ilişkin daha fazla görünürlük ve denetim sağlayarak Güvenli Tasarım ilkelerini ilerletmeyi ve yazılım tedarik zinciri güvenliğini artırmayı amaçlamaktadır.
Güvenli yazılım geliştirmeyi teşvik etmek
Beyaz Saray, yazılım üreticileriyle, istismar edilebilir kusurlar olmadan yazılım geliştirmeyi yasal olarak teşvik eden çerçeveler oluşturmak için görüşmelerde bulunuyor. Secure by Demand olarak adlandırılan bu çaba, Biden yönetiminin Ulusal Siber Stratejisinin önemli bir bileşenidir.
Yazılım sorumluluğu karmaşık bir konudur, özellikle de geliştirmeye topluluk temelli, işbirlikçi bir yaklaşım getiren açık kaynaklı yazılımlarda. Sorumluluğa odaklanma, yazılım satıcıları ve açık kaynaklı topluluk için daha geniş etkileri dikkate alınmadan ceza temelli bir yaklaşımdır.
Tartışılan alternatifler arasında üreticilerin araçlarını en son sürümlere güncel tutmak için açık kaynaklı bileşenler kullanmasını zorunlu kılmak veya açık kaynaklı bakımcılar ile araçları ürünlerine dahil eden şirketler arasında paylaşılan sorumluluk oluşturmak yer alıyor.
Gelecekteki gereksinimler ne olursa olsun, güvenli yazılım geliştirmeyi iyileştirmek için Tasarıma Göre Güvenli ve Talep Üzerine Güvenli yaklaşımları hakkında sürekli eğitim gereklidir.
Tasarıma Göre Güvenli Yazılım Geliştirme
Tasarıma Göre Güvenli yaklaşımı, bir kurumun yazılımına güvenlik açıkları sokmaktan kaçınmanın en iyi yoludur. Tüm destek kurumları, DevSecOps uygulamalarını benimseyerek, bir yazılım malzeme listesi (SBOM) tutarak ve yazılım geliştirme sürecine dahil edilen AI’nın güvenli olduğundan emin olarak Tasarıma Göre Güvenli çerçevesine doğru ilerleyebilir.
Güvenliği yazılım geliştirmeye en başından itibaren yerleştirmek, DevSecOps uygulamalarıyla en iyi şekilde gerçekleştirilir. Güvenliği yazılım geliştirme sürecinin her aşamasına entegre etmek, güvenlik açıklarını hızla belirlemek için tamamen otomatik güvenlik taramasına olanak tanır, güvenlik açıkları için düzeltme önerir ve geliştiriciler için talep üzerine düzeltme eğitimi sağlar.
Sonra, SBOM’lar alıcılara ve operatörlere bir yazılım paketinin kökenleri, güvenlik açıkları ve riskleri hakkında ek görünürlük sağlayabilir. SBOM’lar, sürümler, güvenlik açıkları ve lisanslar dahil olmak üzere yazılım bileşenlerinin ayrıntılı envanterleridir ve potansiyel güvenlik açıkları ve riskler hakkında daha fazla farkındalık sağlar. Birçok kurum artık SBOM’ları kullanıyor olsa da, dinamik ve sürekli güncellenmelidir.
Son olarak, AI, yazılımın Tasarıma Göre Güvenli olmasını sağlamaya yardımcı olan en yeni araçlardan biridir. AI, doğal dil işleme kullanarak yeni kod üretebilir, yorumlanmamış kodun işlevini belirleyebilir, eski kod tabanlarını bellek açısından güvenli dillere yeniden düzenleyebilir ve güvenlik açıklarını anlayıp çözebilir. Ancak, herhangi bir AI aracını benimsemeden önce, kurumlar tedarikçilerinin yayınlanmış bir etik beyanına sahip olduğundan, veri öğrenme ve saklama konusunda netlik sağladığından ve tam model şeffaflığı sunduğundan emin olmalıdır.
Tasarımla Güvenli, radikal şeffaflığa doğru bir zihniyet değişimi ve güvenliği gerçekten bir öncelik olarak benimsemektir. Federal hükümetle çalışanlar, siber güvenliğin ülkemizin kritik hizmetlerini korumak için elzem olduğunu anlar. Hepimiz Tasarımla Güvenli girişiminden ders çıkarabilir ve özellikle hükümetin rehberliği gelişmeye devam ettikçe yazılım geliştirme için daha güvenli ve şeffaf bir geleceği benimseyebiliriz.
Yazar Hakkında
Joel Krooswyk, GitLab Inc.’de Federal CTO’dur. Kamu sektöründe yazılım geliştirme, DevSecOps ve diğer önemli BT uygulamalarında düşünce lideridir. Joel, mevcut rolünde GitLab’ın standart kuruluşlarından, Kongre komitelerinden, endüstri çalışma gruplarından ve diğer etkili kuruluşlardan gelen önemli DevSecOps uygulamalarını geliştirmede söz sahibi olmasını sağlar. Yazılım sektöründe geliştirme, QA, ürün yönetimi, portföy planlama ve teknik satışları kapsayan 25 yıllık deneyime sahiptir.
LinkedIn: https://www.linkedin.com/in/joelrkrooswyk/
GitLab Kamu Sektörü: https://about.gitlab.com/solutions/public-sector/