Dalış Özeti:
- XZ Utils’e karşı yürütülen sosyal mühendislik kampanyasından aylar sonra, açık kaynak bakımcıları güvenlik standartlarını yükseltmek için her zamankinden daha fazla baskı altındalar, ancak büyük ölçüde maaşları ödenmiyor. Tidelift’ten gelen bir rapora göre Salı günü yayınlandı.
- The XZ Utils’i hedef alan çok yıllık sosyal mühendislik kampanyası, Çoğu Linux dağıtımında bulunan bir veri sıkıştırma yazılımı yardımcı programı, Mart ayı sonlarında şüpheli bir tehdit aktörü xz kütüphanesine kötü amaçlı kod girdikten sonra zirveye ulaştı. GitHub’ın daha sonra askıya aldığı şüpheli aktör @JiaT75, kütüphanenin meşru bakıcısıyla güvenilir bir ilişki geliştirmek için yıllar harcadı.
- Bakımcılar, Tidelift’in bulgularına göre, önceki yıllara göre güvenliğe yaklaşık üç kat daha fazla harcama yapıyor ve birçoğundan güvenlik açıklarını aramaları ve daha yüksek yazılım güvenliği standartlarına uymaları isteniyor. Bakımcıların yaklaşık üçte ikisi, katkıda bulunanlara daha az güvendiklerini söyledi.
Dalış İçgörüsü:
Raporda, şirketlerin açık kaynak topluluğuna yönelik talepleri ile birçok kişinin karşılıklılık eksikliği olarak gördüğü durum arasında hâlâ bir uçurum olduğu ortaya çıkıyor.
Bu artan uyumluluk baskılarına rağmen, bakımcıların yaklaşık 5’te 3’ü hala maaş almıyor. Bakımcıların yaklaşık %44’ü tazminat almak istediklerini ancak şimdiye kadar ödeme almadıklarını söylerken, %16’sı hala kendilerini maaş almayan hobiciler olarak adlandırıyor ve tazminat talep etmiyor.
The Siber Güvenlik ve Altyapı Güvenlik Ajansı, Beyaz Saray ve diğer yetkililer açık kaynak güvenliğine yatırımı artırma çabalarını desteklediler, ancak sektör paydaşları daha fazlasına ihtiyaç olduğunu söylüyor.
Tidelift’in kurucu ortağı ve CEO’su Donald Fischer, e-posta yoluyla “2024 yılında, XZ Utils’in aşırı çalışan gönüllü bir bakımcıdan faydalanma girişiminde bulunduğu yılda, bakımcıların çoğunluğunun kendilerini hala ücretsiz hobiciler olarak görmesi talihsiz bir durum,” dedi. “Bunun nedeni aslında oldukça basit: Açık kaynak kullanan yeterli sayıda kuruluş, açık kaynak yazılım tedarik zincirlerinin sağlığına ve güvenliğine yatırım yapmayı önceliklendirmiyor.”
Bakımcılar, önceki yıllara kıyasla güvenliği artırmaya yönelik endüstri çabalarının daha fazla farkındalar. Örneğin, katılımcıların %40’ı OpenSSF Scorecard projesinin farkında olduklarını söyledi, bu oran bir yıl önce %28’di, Tidelift buldu.
Bakımcıların neredeyse 5’te 2’si NIST Güvenli Yazılım Geliştirme Çerçevesi’ni biliyor; bu oran bir yıl öncesine göre %26 daha fazlaydı.
Genel olarak, bakımcılar projelerinin güvenliğini sağlamak için çok daha fazla zaman ve çaba harcadıklarını söylediler.
Seth Larson, “Evet, güvenli olmayan kullanım için statik analizler yapıyoruz, kullanım dışı bırakılan özelliklerden uzaklaşmak için uyarıların hatalara dönüştürüldüğü testler yürütüyoruz” dedi. urllib3’ün açık kaynak bakıcısı.
Kalite kontrolüne daha fazla çaba harcamanın ötesinde, bakımcılar bir projeye katkıda bulunan herkese daha fazla soru soruyor. Larson, çekme isteklerinin köken yerine içeriğe dayandığını söyledi.
Örneğin Larson, ortak bakımcıların kamuya açık bir profilinin veya geçmiş proje katkılarının olup olmadığını soruyor.
Açık kaynak topluluğu, potansiyel tehditler hakkında daha fazla bilgi paylaşıyor. Mayıs ayında OSSF erken uyarı tehdit paylaşım platformu başlatıldıtoplumu sosyal mühendislik girişimleri ve aktif olarak istismar edilen güvenlik açıkları hakkında bilgilendirmek.