Yapay zeka asistanları geliştiriciler için iki ucu keskin bir kılıçtır. Bir yandan kod oluşturma asistanları, barebone uygulamaları oluşturmayı kolaylaştırdı ve GitHub’a gönderilen kod sayısında artışa yol açtı. Ancak bu kadar kolay mı? Kusurları ve güvenlik açıklarını içeren kod oluşturma.
Sonuç olarak, büyük geliştirme gruplarına hizmet veren uygulama güvenliği ekipleri, büyük bir kısmı hatalı pozitif olan uygulama güvenlik açığı raporlarının giderek arttığını görüyor. Aslında yazılım güvenliği firması Snyk’e göre ekiplerin neredeyse üçte biri (%31) bildirilen güvenlik açıklarının çoğunluğunun yanlış pozitifler olduğunu düşünüyor 2023 Açık Kaynak Güvenliğinin Durumu rapor.
Kod gönderimlerinin giderek artması ve hatalı pozitif sonuçlarla devam eden sorunlar karşısında uygulama güvenliği ekipleri, düzeltme isteklerini önceliklendirmenin önemli bir yolu olarak erişilebilirlik analizine güveniyor. Joseph Hejderup, içe aktarılan kodun yalnızca %10 ila %20’sinin belirli bir uygulama tarafından kullanıldığı için, kodun bir saldırgan tarafından erişilebilir olup olmadığının (dolayısıyla da istismar edilebilir olduğunun) belirlenmesinin, yamalanması gereken güvenlik açıklarının sayısını önemli ölçüde azaltabileceğini söylüyor: Konuyla ilgili sunum yapan Endor Labs teknik personeli SOSS Topluluk Günü Avrupa 2024 Eylül ayında. Bu, güvenlik açığı raporlarına öncelik verilmesini mümkün kılıyor, diyor.
Hejderup, “Yazılım bileşimi analiziyle -koda bakmadan- esasen bu kitaplığı kullanırsanız tüm bu işlevleri kullandığınızı varsayıyoruz” diyor. “Gerçekte, kütüphanenin yalnızca bir kısmını kullandığınızı biliyoruz. Kaynak koduna inerek, kodun bu hassas kısmının kullanılıp kullanılmadığını görebilirsiniz.”
Statik uygulama güvenliği testi (SAST) araçları gelişmeye devam ediyor ve Kanıtlanmış bir yatırım getirisine (ROI) sahip olmaközellikle de bir hatayı düzeltme maliyetinin daha düşük olduğu geliştirme süresi sırasında yazılım kusurlarını yakalamak için kullanılıyorlarsa. Ancak yanlış pozitifler SAST araçlarının faydalarını azaltır ve geliştiricinin araçlara olan güvenini zayıflatır. Potansiyel kusurların sayısını azaltmanın yollarını bulmak
Yanlış Pozitifler, Bağlam Eksikliği Sorunları Devam Ediyor
Genel olarak geliştiricilerin %61’i, otomasyonla geliştirme sürecinin daha hızlı ilerlemesinin yanlış pozitiflerin sayısını artırdığına inanıyor Snyk’in 2023 Açık Kaynak Güvenliğinin Durumu rapor. Snyk’in geliştirici ilişkileri başkanı Randall Degges, uygulama güvenliği ekipleri için düzinelerce veya yüzlerce projede keşfedilen güvenlik açıklarının hacmini daha yönetilebilir bir yüke dönüştürmenin yollarını bulmanın kritik öneme sahip olduğunu söylüyor.
“Bu projelerin her birinde yüzlerce, belki de 1000’lerce güvenlik açığı var ve bunların çoğu, tıpkı bu kritik RCE güvenlik açıkları gibi korkutucu görünüyor” diyor. “Ulaşılabilirlik, bir güvenlik ekibi olarak kendinizi sakinleştirmenin ve ekiplerinizi strese sokmamanın gerçekten güzel bir yoludur; çünkü gördüğünüz güvenlik açıklarını ‘Bizimki gibi idam ediliyorlar mı’ sorusuna dayalı olarak başarılı bir şekilde filtreleyebilirseniz kod tabanı olsun ya da olmasın, bu güvenlik ekipleri için gerçekten büyük bir avantaj.”
Genel olarak şirketler, yalnızca erişilemeyen kodları hariç tutarak iyileştirme çalışmalarını %60 oranında azaltabilir. Bir çalışma, Java uygulamalarının %71’inin açık kaynak koddan oluştuğunu, uygulamalar bu kodun yalnızca %12’sini kullandı.
Erişilebilirliği yararlanılabilirlik ve iş etkisi gibi diğer bağlamsal bilgilerle birleştirmek iş yükünü daha da azaltır. 900 kuruluştan gelen 106 milyon uyarının analizinde, kuruluş başına ortalama 118.000 uyarı, iş yükünde %99,5’lik bir azalma görüldü; yani kuruluş başına yaklaşık 660 uyarı, uygulama güvenliği firması OX Security’ye göre.
OX Security siber güvenlik stratejisti Katie Teitler-Santullo, geliştiricilere daha az sayıda güvenlik açığının bildirilmesinin iki grup arasındaki sürtüşmeyi azaltmaya yardımcı olabileceğini söylüyor.
“En büyük hayal kırıklığı, araçların gürültüyü azaltamaması ve geliştiricilerin ihtiyaç duyduğu önceliklendirmeye odaklanamaması nedeniyle yaşanıyor [in order] güvenliğin hızına karşı gelişme hızıyla ilerlemek” diyor.
Kaynak Kodu Analizi veya Enstrümantasyon
Tipik olarak ulaşılabilirlik analizine iki yaklaşım vardır. Statik kod analizine odaklanıldı işlev çağrılarının grafiklerini oluşturma uygulamalarda ve belirli bir kodun çalıştırılıp çalıştırılamayacağının belirlenmesi. Karar vermek her zaman basit değildir: Koşullu bir ifade yalnızca yüz veya binlerce çağrıda bir kez yürütülebilir veya hiçbir zaman yürütülemez ve bu nedenle uygulama güvenliği araçlarının bunun bir tehdit oluşturup oluşturmadığını belirlemesi gerekir.
Örneğin Snyk, iş azaltımı tarafında hata yapıyor. Snyk’ten Degges, bir koşul olması durumunda şirketin araçlarının küçük dalları göz ardı edeceğini ve yalnızca olası sonuca odaklanacağını söylüyor.
“Orada %100 kesin olarak izini sürebileceğimiz şeyler arıyoruz ve ‘Evet, buna ulaşılabilir’ diyoruz” diyor. “Bunun karşılığı, bazı şeylerin ulaşılamaz olmasına rağmen ulaşılamaz olarak işaretlenebilmesidir. Ancak faydası, insanların bir sürü yanlış uyarı almamasıdır.”
Diğer bir yaklaşım ise uygulamayı ve kodu denetlemek, çalışma zamanında hangi işlevlerin yürütüldüğünü belirlemek ve bu kodu erişilebilir olarak etiketlemektir.
Koddaki bir güvenlik açığından yararlanılıp yararlanılamayacağı başka bir araştırma düzeyidir ve Endor Lab’den Hejderup, şirketlerin bunu yapabilmesini beklemektedir. ulaşılabilir koda göre filtreleyin ve bir sonraki adım olarak kanıtlanabilir şekilde sömürülebilir.
“Bu tür daha gelişmiş, karmaşık analizler muhtemelen erişilebilirlik analizinde bir sonraki seviye olacaktır” diyor.