Uygulama Güvenliği, Yönetişim ve Risk Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Güvenlik Açığı Araştırmaları Üzerine Harici Uzmanlarla İşbirliği Ajansı
Akhabokan Akan (Athokan_akhsha) •
16 Temmuz 2025
İngiltere Ulusal Siber Güvenlik Merkezi güvenlik açığı araştırma girişimini açıkladı. Program kapsamında, ajans güvenlik açığı araştırmalarını genişletmek için endüstri uzmanlarıyla işbirliği yapacak.
Ayrıca bakınız: İhlali önlemek: Bir hizmet tutucunun sonucu değiştirebileceği 5 senaryo
Şu anda, NCSC içindeki güvenlik açığı araştırmaları, teknik uzmanlar, ilişki yöneticileri ve proje yöneticilerinden oluşan şirket içi araştırma ekibi tarafından gerçekleştirilmektedir. Dış kaynaklarla işbirliği yaparak, ajans, “çok çeşitli teknolojiler üzerinde derin bir güvenlik anlayışı” geliştirmeyi planladığını söyledi.
Ajans, “Bu başarılı çalışma şekli, NCSC’nin güvenlik açığı araştırması yapma kapasitesini arttırıyor ve İngiltere’nin VR ekosisteminde VR uzmanlığını paylaşıyor.” Dedi.
Yeni programla ilgili detaylar seyrek, ancak ajans, güvenlik açıklarını tespit etmek, endüstrinin bu kusurları nasıl ele aldığını anlama ve ilgili araç ve araştırmayı keşfetmek için endüstri uzmanlarıyla çalışmayı planlıyor.
İlgilenen taraflar, programı gelecekte yapay zeka kırılganlık araştırmalarını içerecek şekilde genişletmeyi planlayan NCSC ile iletişime geçebilir.
Ajanstan duyuru, kar amacı gütmeyen Miter tarafından yürütülen bir veritabanı olan ortak güvenlik açıkları ve maruziyetlerinin, ABD İç Güvenlik Bakanlığı’nın programın finansmanını yenilemediği Nisan ayında kısa bir kesinti ile karşılaştıktan sonra geliyor. Bu, siber güvenlik açıklarını herkese açık olarak açıklayan veritabanını kaybetmekten korumaktan korkan güvenlik uzmanlarından gelen endişeleri, küresel olarak olay tepkisini etkileyebilir (bkz:: Siber güvenlik alarmları CVE programı finansmanının kaybına karşı ses çıkarıyor).
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı daha sonra sözleşmeyi belirtilmemiş bir süre boyunca genişletti.
Amerika Birleşik Devletleri’ndeki finansman sorunları, CVE veritabanına karşı aşırı güven ile ilgili endişeleri dile getirdi ve Haziran ayında Avrupa Birliği’nin kırılganlık veritabanını, yazılım satıcılarının ve araştırmacıların güvensizlikleri ifşa etmeleri için merkezi kamu veritabanını ortaya çıkarmasına neden oldu.
Diyerek şöyle devam etti: “Başka bir tek güvenlik açığı bilgisi kaynağı olmadığı için endişeleri getiren CVE programı etrafındaki son finansman endişesini gördük, bundan sonra ne olacak?” Said Stephen, Rapid7’deki ana güvenlik araştırmacısı, Haziran röportajında Information Security Media Group’a söyledi (bakınız: Boşluğu Avrupa güvenlik açığı veritabanı ile doldurmak).
AB liderliğindeki çaba, mevcut güvenlik açığı araştırma girişimlerine zenginleştirme sağlayacak ve aynı zamanda ticaret bloğunun “AB için daha fazla endişe duyan güvenlik açıklarına” öncelik vermesine izin verecek.
Güvenlik uzmanları ISMG’ye göre, AB veritabanına benzer şekilde, NCSC liderliğindeki çaba kırılganlık bilgi tabanını genişletebilir ve ülkede özel kamu ortaklıklarının artmasına neden olabilir.
Güvenlik Açığı Yönetimi Şirketi Hackuity strateji başkan yardımcısı Sylvain Cortes, “Bu, güvenlik açıklarının kuruluşlar için nasıl ciddi yankılara sahip olabileceğini tekrar tekrar gördüğümüz için bu daha da kritik.” Dedi. Girişimin NCSC’nin “güvenlik açıklarını daha iyi belirlemesi ve anlaması” için yardımcı olmasını bekliyor.
Ancak, girişimin araştırmacıları telafi etme olasılığının daha düşük olduğu için – böcek ödül programlarının aksine – sınırlı katılım görebiliyor, dedi Bristol merkezli Imgersive siber tehdit araştırmalarının kıdemli direktörü Kevin Breen.
Breen, “Bu, katılmak isteyen bireylerin sayısını sınırlayabilir, çünkü mevcut hata ödül şemaları aracılığıyla benzer çalışmalar için telafi edilebilecekleri zaman katkıda bulunmaya çok az teşvik var.” Dedi.
Acumen Cyber CTO’su Kevin Robertson, girişimin başarılı olması için NCSC’nin sürdürülebilirliğini sağlaması hayati önem taşıyor.
Robertson, “Bunun, bağımsız eylemin genellikle daha anlamlı olduğu bir alanda boşa harcanan bir potansiyel örneği haline gelmemesi önemlidir.” Dedi.