2011 yılında Marc Andreessen bir cümle uydurdu artık hepimiz şunu biliyoruz: “Yazılım dünyayı yiyor.” 13 yılı aşkın bir süre sonra bu ifade hâlâ geçerli görünüyor. Dünya yazılımla çalışıyor ve her gün endüstrileri dönüştürmeye ve küresel ekonomiyi beslemeye devam ediyor. Şirketler, günümüzün dinamik ve aşırı rekabetçi iş ortamına ayak uydurabilmek için her zamankinden daha hızlı bir şekilde daha fazla yazılım üretiyor.
Yenilik güzel bir şeydir, ancak yazılımların oluşturulma ve teslim edilme süreçlerindeki artan hacim ve hız, yazılım tedarik zincirinde bir şeylerin ters gitmesi için daha fazla fırsat yaratıyor. Geçtiğimiz on yılda bunun tekrar tekrar gerçekleştiğini gördük.
Geçen yıl bu zamanlar, Okta açıklandı kötü aktörlerin destek yönetim sistemi aracılığıyla özel müşteri verilerine erişim sağladığı önemli bir güvenlik ihlali yaşadığını ve bu durumun üçüncü taraf riskinin tehlikelerini vurguladığını belirtti. 2020 yılında SolarWinds platformu güncelleme mekanizması tehlikeye girdi ve 18.000’den fazla müşterisini etkileyen kötü amaçlı yazılımlar göndermek için kullanıldı. Ve 2017’de, Equifax büyük bir ihlale maruz kaldı Yazılımındaki bilinen bir güvenlik açığının düzeltilememesi nedeniyle.
Bu, son on yılda kuruluşların başına bela olan yazılım tedarik zinciri saldırı türlerinin yalnızca küçük bir örneğidir. Ne yazık ki bu saldırılar hiçbir yavaşlama belirtisi göstermiyor; aslında tam tersi.
Araştırma gösteriyor yazılım tedarik zinciri saldırıları her iki günde bir başarılı saldırı oranında gerçekleşiyor ve Gartner tahmin ediyor 2025 yılına kadar kuruluşların %45’inin bir yazılım tedarik zinciri saldırısına maruz kalacağı öngörülüyor. Endişe verici bir şekilde, bir rapor Son üç yılda bu saldırılarda %742 oranında şaşırtıcı bir artış olduğu tespit edildi.
Yazılım tedarik zinciri saldırılarındaki artış, çeşitli faktörlerin birleşimine bağlanabilir. Çoğu zaman kuruluşlar maruz kaldıkları riskin boyutunun farkına varmazlar. Yazılım mağazaları daha karmaşık yazılım teslimi ve tüketim modellerine doğru ilerledikçe (örneğin, sürekli entegrasyon/sürekli teslimat) [CI/CD] ve bulut), tedarik zincirleri daha savunmasız hale geliyor. Ek olarak, tipik saldırı vektörlerinin kötüye kullanılması giderek zorlaştı (tedarikçilerin platformlara ve yazılımlara daha gelişmiş güvenlik önlemleri eklemesi sayesinde), bu da kötü aktörleri yeni güvenlik açıklarını ortaya çıkarmaya ve saldırılarında daha yaratıcı olmaya zorladı. Son zamanlarda kodlama asistanları gibi üretken yapay zeka (GenAI) araçlarının benimsenmesindeki ani artış, yeni ve izlenmesi zor güvenlik açıkları yarattı. Aynı zamanda saldırganlar, daha yüksek hacimde daha karmaşık saldırılar gerçekleştirmek için GenAI’dan yararlanıyor.
Kuruluşların, yazılım tedarik zincirindeki her bağlantıda yüksek düzeyde güvenlik sağlarken, yüksek kaliteli yazılımı hızlı bir şekilde oluşturup yayınlamak arasında acilen bir denge bulması gerekiyor.
Yeniliği engellemeden güvenliği nasıl sağlayabilecekleri aşağıda açıklanmıştır:
Satıcıları Sürekli Olarak Kapsamlı Bir Şekilde İnceleyin (ve GenAI Araçlarını Aynı Düzeyde İncelemeyle Tedavi Edin)
Okta’nın ihlalinden öğrenilebilecek bir şey varsa o da, özel müşteri verileri ve diğer hassas bilgiler konusunda onlara güvenilecekse üçüncü taraf satıcıların dikkatle incelenmesi gerektiğidir. Geliştirme atölyeleri çoğunlukla kullandıkları üçüncü taraf kodunun bir kara kutu olduğunu varsayar.
Kodlarının açık kaynak veya üçüncü taraf bileşenlerinden haberdar olmaları ve dolayısıyla olası güvenlik açıklarını belirleyebilmeleri için kuruluşların her satıcının yazılım malzeme listesine (SBOM’ler) bakması gerekir. Ayrıca satıcının güvenlik geçmişini değerlendirmeli ve politikalarını, prosedürlerini ve sertifikalarını gözden geçirmelidirler.
Satıcıların incelenmesi, kuruluşun katılımın başında kontrol ettiği ve daha sonra unuttuğu bir kutu olmamalıdır. İnceleme süreci olmalı devam ediyor: Kuruluşlar sürekli olarak sorular sormalı ve satıcının yeni teklifleri, politikaları, uyumluluk sertifikaları ve daha fazlasının nabzını tutmalıdır.
GenAI araçlarının üçüncü taraf sağlayıcılarla aynı düzeyde incelemeye tabi tutulması gerektiğini unutmayın. Kuruluşların, büyük dil modelinin (LLM) nasıl çalıştığı, hangi veriler üzerinde eğitildiği, modelin açık mı yoksa kapalı mı olduğu ve kullanıcı girdilerinin ve oluşturulan içeriğin nasıl toplandığı ve kullanıldığı konusunda görünürlüğe ihtiyacı vardır. Ayrıca LLM’nin ürettiği kodun doğruluğunu ve kalitesini değerlendirmeleri ve ayrıca ürettiği herhangi bir yanlış veya hatalı kodu azaltmak için bir plana sahip olmaları gerekecektir.
Açık Kaynak Projelerini Dikkatli Kullanın
Açık kaynak projeleri hızlı gelişim ve yenilik açısından kritik öneme sahiptir ancak kuruluşların açık kaynak kodunu nasıl kullandıkları konusunda çok dikkatli olmaları gerekir. Sadece geçen yıl araştırmacılar şunu buldu: 245.032 kötü amaçlı paket herkese açık olarak indirilebilen açık kaynaklı projelerde. Açık kaynak depoları, tek bir pakete saldırarak ortalığı kasıp kavuran ve sonuçta şirketlerin ve müşterilerinin oluşturduğu ekosistemin tamamını etkileyen kötü aktörler için birincil hedeftir.
Kuruluşlar yalnızca aşağıdakiler gibi katı uyumluluk çerçevelerine uyan açık kaynaklı projelerdeki kodu kullanmalıdır: OpenSSF Puan Kartı, Sistem Paketi Veri Alışverişi (SPDX) ve OpenVEX. Bu, kodunu ödünç almadan önce projenin güvenlik hijyeni hakkında görünürlük sahibi olmalarını sağlar. Ek olarak kuruluşlar bir yazılım kompozisyon analizi (SCA) çözümü benimsemeli ve ortaya çıkması halinde açık kaynak güvenlik açıklarını ele alacak bir plana sahip olmalıdır.
Tüm Yazılım Teslim Sürecinizin Güvenliğini Değerlendirin
Yazılım tedarik zincirini güvence altına almak için sihirli bir çözüm yok. Kuruluşların güvenliğini titizlikle değerlendirmeleri gerekir. her adım tasarım, geliştirme, test etme, dağıtım, bakım ve ötesi dahil olmak üzere yazılım teslim sürecinin.
Şirketler, CI/CD hattı boyunca güvenlik önlemlerini aşılayarak, güvenlik açıklarını geliştirme sürecinin erken aşamalarında tespit edip düzeltebilir, böylece daha sonra tam kapsamlı bir ihlale yol açmazlar. Bunu, potansiyel sorunları işaretleyen otomatik güvenlik çözümleri ve kodu bilinen güvenlik açıklarına karşı tarayan kaynak kompozisyon analizi (SCA) araçlarıyla ve yetkisiz erişimi önlemek için kaynak kodu erişim kontrollerini uygulayarak başarabilirler.
Güvenlikteki kedi-fare oyunu asla bitmez. Sektör, bilgisini genişletmek ve güvenliği güçlendirmek için özenle çalışırken, saldırganlar da hain faaliyetler planlamak ve yürütmek için bir o kadar yoğun çalışıyor. Yazılım tedarik zinciri büyüyen bir hedeftir ve kuruluşların bunu korumak için özel dikkat göstermeleri gerekir. Kuruluşlar, satıcıları dikkatli bir şekilde inceleyerek, açık kaynağı dikkatli bir şekilde tüketerek ve tüm yazılım dağıtım sürecini güvence altına alarak, inovasyonu teşvik etmek ve yazılım tedarik zinciri güvenliğini sürdürmek arasında bir denge kurabilir.