Saldırganlar, OpenSSF ve Linux Foundation’a göre, yazılım güvenlik açıklarını sürekli olarak keşfedip istismar ederek sağlam yazılım güvenliğinin artan önemini vurgulamaktadır. Buna rağmen, birçok geliştirici, güvenli yazılım geliştirmeyi etkili bir şekilde uygulamak için gereken temel bilgi ve becerilerden yoksundur.
Güvenli yazılım geliştirme konusunda eğitim eksikliği
Raporda özetlenen anket bulguları, geliştirme ve dağıtıma doğrudan dahil olan tüm profesyonellerin (sistem operasyonları, yazılım geliştiricileri, taahhüt edenler ve bakımcılar) yaklaşık üçte birinin güvenli yazılım geliştirme uygulamalarına aşina olmadıklarını bildirdiğini gösteriyor. Bu, özellikle endişe verici çünkü onlar bir şirketin uygulamalarını ve sistemlerini çalıştıran kodu oluşturma ve sürdürme konusunda ön saflarda yer alıyorlar.
Linux Vakfı’nın açık kaynak tedarik zinciri güvenliği direktörü David A. Wheeler, “Yazılım açıklarının istismar edilmesinin felaket sonuçlara yol açtığını defalarca gördük. Bu durum, tüm seviyelerdeki geliştiricilerin güvenli kod yazmak için yeterli bilgi ve becerilerle donatılmasının kritik önemini ortaya koyuyor” dedi.
“Araştırmamız, temel zorluklardan birinin güvenli yazılım geliştirme konusunda eğitim eksikliği olduğunu buldu. Uygulayıcılar nereden başlayacaklarından emin değiller ve bunun yerine ilerledikçe öğreniyorlar. Güvenli geliştirme eğitimini ön plana çıkarmak için sektör çapında bir çabanın öncelik olması gerektiği açık,” diye ekledi Wheeler.
Anket sonuçları, güvenlik farkındalığı eksikliğinin muhtemelen mevcut eğitim programlarının çoğunun işlevsellik ve verimliliğe öncelik verirken temel güvenlik eğitimini ihmal etmesinden kaynaklandığını göstermektedir. Ek olarak, profesyonellerin %69’u ana öğrenme kaynağı olarak iş başındaki deneyime güvenmektedir, ancak asgari düzeyde güvenlik aşinalığı elde etmek için en az beş yıllık böyle bir deneyim gerekmektedir.
Zaman eksikliği (%58) ve farkındalık ve eğitim eksikliği (%50), kuruluşlar içinde güvenli yazılım geliştirme uygulamalarını uygulamada en yaygın iki zorluktur. Güvenli yazılım geliştirme konusunda bir kurs almamanın en büyük nedeni (%44), konuyla ilgili iyi bir kurs hakkında bilgi eksikliğidir.
Bir yıldan az deneyime sahip yazılım geliştiricileri %75 ile en yüksek aşinalık eksikliğini bildirirken, bu sayı bir ila iki yıllık deneyime sahip olanlarda %72’ye düşer. Benzer şekilde, güvenli yazılım geliştirmede bir yıldan az belirli deneyime sahip olanların %72’si aşinalık eksikliği bildirirken, bu sayı bir ila iki yıllık deneyime sahip olanlarda %47’ye düşer.
Dil bağımsız derslerle eğitim boşluklarını doldurmak
Birçok yazılım geliştirme uzmanı hâlâ üniversite eğitim kursları yerine gayriresmi yöntemleri tercih ediyor.
Kendi kendine öğrenme yöntemleri en yaygın olanıydı ve katılımcıların %74’ü ana öğrenme yöntemi olarak çevrimiçi öğreticiler, videolar ve kitaplar gibi kaynakları kullandığını bildirdi. Yapay zeka (%57) ve tedarik zinciri (%56) gibi ortaya çıkan güvenlik endişeleri, inovasyon ve dikkat için kritik gelecek alanları olarak görülüyor.
Intel’den, OpenSSF Eğitim Özel İlgi Grubu (SIG) eş başkanı ve OpenSSF Teknik Danışma Kurulu (TAC) başkanı Christopher “CRob” Robinson, “Güvenli yazılım geliştirmenin ele alınmasındaki ilk adım, mevcut bilgi açığını fark etmek ve ek eğitim oluşturmak için öncelikli alanları belirlemektir” dedi.
Kuruluşların eğitim boşluklarını doldurmak ve BT personelinin güvenli yazılım geliştirmeyi daha iyi ele almasına yardımcı olmak için çeşitli dil bağımsız kurslara ihtiyacı vardır.
Güvenlik eğitimi ve rehberliğinin amacı, “çalışanların güvenlik farkındalıklarını artırmaları ve bu bilgiden ve diğer rehberliklerden güvenli yazılımların tasarımı, geliştirilmesi ve dağıtımında yararlanmaları için eğitim sağlamaktır.
Son olarak, yazılım geliştirmede güvenli uygulama, yaygın güvenlik açıklarından kaçınmak ve saldırılara karşı daha dayanıklı olmak için kaynak kodu yazmayı içerir. Bu yaklaşım, güvenliğin yazılım ürünlerinin koduna en başından itibaren yerleştirildiğinden emin olarak başka bir savunma düzeyi sağlar.