Yazılım tedarik zinciri saldırılarının devam eden yaygınlığı (ve yükselişi), herhangi bir yazılım geliştiricisini veya güvenlik analistini geceleri uyanık tutmak için yeterlidir. Son XZ arka kapı saldırısı nihayet geride kaldı ve neyse ki arka kapılı kütüphaneye geniş bir erişim sağlanamadı. Eğer duymadıysanız, bu yazılım tedarik zinciri saldırısının Linux sistemlerini hedef alan kötü niyetli bir girişim olduğunu ve bu saldırının yapımının yıllar sürdüğünü söyleyebiliriz.
XZ gibi bir olayın tekrar yaşanacağı inkar edilemez ve bir dahaki sefere bu kadar şanslı olmayabiliriz. Ancak XZ’de yaşananların bugün en iyi uygulamalarla çözebileceğimiz bir sorun olmadığı tartışılmadı. Peki, eğer bu arka kapı tedarik zinciri saldırıları sorununu çözemezsek ileriye yönelik güvenli bir rotayı nasıl çizebiliriz?
Çözülemeyen Sorun
Bazen gerçeklik sert olabilir, ancak bu tür arka kapı saldırılarıyla ilgili acı gerçek şu ki bir çözüm yok, bunu nasıl çözeceğimizi bilmiyoruz. Birçok proje ve kuruluş, bu basit şeyi yaparak sizi nasıl güvende tuttuklarını veya yazılım tedarik zinciri saldırılarını nasıl önleyebileceğinizi açıklamaktan mutluluk duyar. Ancak sektör, bugünkü haliyle motive olmuş ve kaynaklara sahip bir tehdit aktörünün gerçekleştirdiği saldırıları önleme becerisinden yoksundur. Aslında Anchore 2022 Yazılım Tedarik Zinciri Güvenlik Raporu, açık kaynaklı yazılım kapsayıcılarının güvenliğinin ankete katılanların %24’ü tarafından bir numaralı zorluk olarak sıralandığını gösteriyor; dolayısıyla bu, münferit bir iş kaygısı değil. Aynı anket, katılımcıların yarısından fazlasının yazılım tedarik zincirini güvence altına almanın en önemli veya önemli odak noktası olduğunu söylediğini de bildiriyor. Bu, XZ saldırısı gibi son zamanlardaki yüksek profilli saldırıların, kuruluşların çoğunluğu için yazılım tedarik zinciri güvenliğini radarına soktuğunu gösteriyor.
Kötü niyetli bir açık kaynak bakımcısı varsa, biz (sektör olarak) bu tür saldırıları önleyecek araç ve bilgiden yoksunuz, çünkü bu tür davranışları gerçekte gerçekleşene kadar durduramazsınız. Açık kaynaklı yazılım kullandığımızda o kadar çok yazılım var ki, muhtemelen inceleyemeyiz. Sorunların bulunması ve çözülmesi konusunda topluluğa güveniyoruz; XZ arka kapı saldırısında da tam olarak böyle oldu.
Ancak bu çaresiz olduğumuz anlamına gelmiyor. Gözlemlenebilirlik endüstrisinin taktik kitabından bir sayfa çıkarabiliriz. Bazen sorunları oluştukça veya oluştuktan sonra görebiliriz, sonra geçmişten gelen bilgiyi geleceği iyileştirmek için kullanabiliriz, bu çözebileceğimiz bir sorundur. Ve ölçebileceğimiz bir çözüm. Yazılımınızın geçmişi, bugünü ve geleceği hakkında sağlam bir envanteriniz varsa, XZ’nin etkilenen sürümlerini aramak basit ve etkili hale gelir.
Bugün ve Yarın
XZ’nin savunmasız bir sürümünü, özellikle de 5.6.0 ve 5.6.1 sürümlerini aramak kolay bir iş gibi görünüyor, ancak bunun gibi bir sorunu geniş ölçekte çözmeye çalışmak her zaman bir zorluktur. Gelecekte hızla neyi aramamız gerekeceğini bilmiyoruz. Bir ikili dosya mı, bir python paketi mi yoksa sadece bir sağlama toplamı mı olacak? Bir sonraki saldırının ne olacağını bilmiyoruz, doğru bir envanter önemli olacak.
Endüstri şu anda yazılımın içeriğini izlemenin yolu olarak yazılım malzeme listesi veya SBOM kullanmaya odaklanıyor. Güvenli yazılım geliştirme çerçevesi veya SSDF gibi yeni geliştirme standartlarında bu envanterlere odaklanıldığını görüyoruz. Yazılım envanterini takip etmek için bir SBOM kullanarak, yalnızca kendi yazılımımızı takip etmek için değil, aynı zamanda bu envanterleri müşterilerimiz ve iş ortaklarımızla paylaşmak ve tedarikçilerimizden bir SBOM almak için de standartlaştırılmış bir yönteme sahip oluyoruz. SBOM’lar mükemmel değildir ancak gelecekte kullanabileceğimiz yazılım envanterlerine sahip olmanın ilk adımıdır.
Şimdi ne olacak?
Sektör haberlerini takip eden herkes muhtemelen bundan sonra nasıl bir tedarik zinciri hikayesinin olacağını merak ediyordur. Açık kaynak yazılımın boyutu ve karmaşıklığı çok büyüktür ve her geçen gün daha da karmaşık hale gelmektedir. Açık kaynak, ürünlerimize ve hizmetlerimize o kadar yerleşmiş durumda ki artık onu kullanmayı bırakmamız mümkün değil, o kalıcı olarak burada, peki ne gibi sorumluluklarımız var? Başarısız olamayacak kadar büyükse ve düzeltilemeyecek kadar büyükse, açık kaynağı mantıklı şekillerde nasıl kullanabileceğimizi bulmamız gerekiyor. Artık açık kaynaklı yazılım bileşenlerinizi takip etmenize yardımcı olacak teknolojilerimiz var, ancak takip etmek ilk adımdır. Bir sonraki XZ ortaya çıktığında hızlı hareket etmek de aynı derecede önemlidir. Açık kaynak kullanacaksak açık kaynak hızında ilerlememiz gerekiyor. Bizi XZ’ye getiren sorunu çözemeyiz, ancak bir sonraki sorun olduğunda günler yerine dakikalar içinde yanıt vermeye başlayabileceğimizden emin olabiliriz.
Yazar Hakkında
Josh Bressers, zamandan tasarruf etmek ve riski azaltmak için yazılım uyumluluğunu otomatikleştiren modern bir yazılım kompozisyonu analiz şirketi olan Anchore’da Güvenlikten Sorumlu Başkan Yardımcısıdır. Anchore’da şirketin ticari ve açık kaynak çözümleri için güvenlik özelliklerinin geliştirilmesine rehberlik ediyor. OpenSSF SBOM Everywhere projesinin ortak liderlerinden biridir ve Cloud Security Alliance’taki Global Security Database projesinin kurucu ortağıdır.
Bressers’a LinkedIn üzerinden veya https://www.anchore.com/ adresini ziyaret ederek ulaşabilirsiniz.