Lineaje kısa süre önce ABD ve Rusya’nın açık kaynak projelerinin önde gelen üreticileri olduğunu belirten bir rapor yayınladı; her iki ülke de en yüksek sayıda anonim açık kaynak katkısına sahip ülkeler.
Bu Help Net Security videosunda Lineaje Kıdemli Başkan Yardımcısı ve CISO’su Nick Mistry, açık kaynak yazılım bileşeni bağımlılıklarının en derin katmanlarının nereden kaynaklandığını ve bunların kritik güvenlik açıklarını tartışıyor.
Rapor, coğrafi kökene bakılmaksızın, ortalama orta ölçekli uygulamanın aşağıdakiler de dahil olmak üzere kritik güvenlik açıklarına yol açan çeşitli rahatsız edici eğilimlere sahip olduğunu ortaya koydu:
Açık kaynak güvenlik zayıflıklarına neden oluyor: Açık kaynak, geliştiricilerinizin yazdığı kodun 2 ila 9 katı kadar katkıda bulunur ve güvenlik zayıflıklarının %95’inden fazlası açık kaynak paket bağımlılıklarından kaynaklanır. Tüm CVE önem düzeylerinde bu güvenlik açıklarının yarısından fazlasının (%51) bilinen bir çözümü yoktur. Ek olarak, açık kaynaklı bileşenlerin %70’inin bakımı artık yapılmıyor veya yetersiz şekilde korunuyor.
Bakımı yapılmayan açık kaynak daha az savunmasızdır: Şaşırtıcı bir şekilde, bakımı yapılmayan açık kaynak, iyi bakımı yapılan açık kaynağa göre daha az savunmasızdır; bu da 1,8 kat daha savunmasızdır. Bakımı iyi yapılan bileşenlerdeki yüksek orandaki değişim riskleri artırmaktadır.
Güvenlik açıklarını düzeltmek zordur: Bireysel açık kaynaklı projeler, düzinelerce açık kaynaklı kuruluştan 60’a kadar bileşen katmanı içerir. Genellikle geliştiricilerin kuruluşlarının uygulamalarına dahil ettiği tek bir bağımlılıkla karmaşık bir Lego yapısında bir araya getirilirler, bu da zayıf risk değerlendirmesine ve hatta daha zayıf iyileştirme yaklaşımlarına yol açar. Geliştiricilerin hangi güvenlik açıklarını hızlı bir şekilde düzeltebileceğini ve hangilerini düzeltmemesi gerektiğini bilmek, güvenlik açığı düzeltme çalışmalarının en az %50’sini ortadan kaldırır ve güvenlik duruşunu %20-70 oranında iyileştirir.
Sürümün yayılması komplikasyonlara neden oluyor: Açık kaynak bileşenlerinin %15’inden fazlasının tek bir uygulamada birden fazla sürümü vardır, bu da iyileştirme çabalarını zorlaştırır.
Kodlama dili çeşitliliği güvenlik risklerini beraberinde getiriyor: Orta boyutlu bir uygulama, 139 dilde 1,4 milyon satırlık kod alabilir ve genellikle bellek açısından güvenli olmayan daha riskli dillerde sürüklenebilir. Tasarım gereği güvenli kuruluşlar, özel kodda bellek açısından güvenli diller kullanabilir, ancak dil açık kaynak bağımlılıkları için bir seçim kriteri olmadığı sürece bağımlılıkları güvenlik risklerini artırmaktadır.
Ekip büyüklüğü kaliteyi ve güvenliği etkiler: Küçük ekiplerden oluşan açık kaynaklı projeler (<10) and large teams (>50) orta ölçekli ekiplere göre daha riskli paketler sunar. Küçük ekipler, orta ölçekli ekiplere göre %330 daha fazla riskli projeler sunarken, daha büyük ekipler, orta ölçekli ekiplere göre %40 daha fazla riskli paketler sunar.