Kusari platformu, tüm yazılım bileşenlerinin bir listesi olan Yazılım Malzeme Listesi (SBOM) verilerini alarak, etkilerin nerede ortaya çıkacağını belirlemek için yazılımın bir zaman çizelgesini sunar.
Kusari, tek bir doğruluk kaynağı oluşturarak güvenlik, mühendislik, hukuk, finans ve düzenleme ekiplerinin yazılımlarına ilişkin görünürlük kazanmasına yardımcı oluyor; böylece güvenlik açıklarını hızlı bir şekilde tespit edebilir, açık kaynak lisanslama sorunlarını belirleyebilir ve uyumluluk kontrolleri gerçekleştirebilirler.
Kusari CEO’su Tim Miller, “Kusari, yazılım geliştirme yaşam döngüsünü anlamaya ve sorunları etki yaratmadan önce tespit edip çözmek için verileri ilişkilendirmeye odaklanarak güvenlik konusunda proaktif bir yaklaşım benimsiyor” dedi. “Şirketler şu anda derlemeden sonra sorunları taramaya veya yalnızca SBOM’larını depolamaya odaklanmış olsa da, platformumuz onlara tam olarak ne olduğunu görmek ve yazılım ekosistemleri genelinde kararlar vermek için bu verileri büyütmelerine, izlemelerine, ilişkilendirmelerine, ayrıştırmalarına ve kullanmalarına yardımcı oluyor.”
Günümüzde yazılım ekipleri birçok farklı ortamda çalışmaktadır, bu nedenle farklı bilgi kaynaklarının tamamını bir araya getirmek zordur. Yazılım verilerinin ayrıştırılması aylar olmasa da günler sürebilir ve çoğu zaman hatalı analizlerle sonuçlanır. Bu karmaşıklık nedeniyle çoğu kuruluş, yazılım verilerini göz ardı eder ve bu da büyük olumsuz sonuçlara yol açabilir. Lisans davaları ve güvenlik açığı uzlaşmaları, fikri mülkiyet haklarına ve büyük mali kayıplara neden olabilir. Aslında, bir veri ihlalinin küresel ortalama maliyeti 2024’te 4,88 milyon dolara ulaştı; geçen yıla göre %10 artışla şimdiye kadarki en yüksek toplam.
Kusari, Kusari Platformunu büyük miktarlarda SBOM’ları ve diğer yazılım meta verilerini verimli bir şekilde yönetecek ve yıllarca sürecek bilgiyi birkaç dakika içinde alabilecek şekilde tasarladı. Ürün, yazılım bileşenlerini ve güvenlik açıklarını yönetmek için kapsamlı bir çözüm sağlayarak birden fazla güvenlik aracına olan ihtiyacı azaltmayı amaçlamaktadır.
Kusari, kuruluşların aşağıdaki alanlarda görünürlük kazanmasına yardımcı olur:
- Güvenlik açıkları: Kusari’nin zaman çizelgesi görünümüyle, güvenlik ekipleri mevcut güvenlik açığı yolunu kolaylıkla ilişkilendirebilir, böylece yenileri ortaya çıktıkça düzeltilen güvenlik açıkları kaybolmaz. Kusari aynı zamanda bir ihlalden etkilenip etkilenmediklerini ve ne ölçüde etkilendiklerini haftalar veya aylar yerine dakikalar içinde öğrenmelerine yardımcı oluyor, böylece düzeltme için hızlı bir şekilde bir plana geçebiliyorlar. Platform, alışılmışın dışında sorunları sıralıyor ve önceliklendiriyor; bu da güvenlik ekiplerine karar alma konusunda bağlam sağlıyor.
- Lisanslama: Açık kaynaklı yazılımın her parçasının benzersiz lisanslama gereksinimleri vardır. Kusari, lisans bilgilerini takip ederek ve Açık Kaynak Girişiminin bir parçası olan ClearlyDefined ile entegre olarak, açık kaynak lisanslama hakkında doğru bilgiler sağlayarak kuruluşların kullandıkları yazılımın yasal sonuçlarını anlamalarına yardımcı olur.
- Uyumluluk: Şirketler, CISA’nın Güvenli Yazılım Geliştirme Onay Formu, 14028 sayılı Yönetici Emri, Federal İlaç İdaresi’nin tıbbi cihaz siber güvenliğine yönelik güncellenmiş hükümleri ve Siber Dayanıklılık Yasası gibi, yazılımları için SBOM’lara sahip olmalarını gerektiren yeni düzenlemelerle karşı karşıyadır. Daha fazla düzenleme ortaya çıktıkça Kusari, kuruluşların yazılımlarında neler olduğunu anladıklarını ve düzenleyici gereklilikleri karşıladıklarını kanıtlamalarına yardımcı oluyor.
Kusari platformu, Kusari’nin birlikte oluşturduğu ve OpenSSF’ye katkıda bulunduğu Açık Kaynak Graph for Understanding Artifact Composition (GUAC) yazılımı üzerine kuruludur. GUAC, SBOM’lar gibi yazılım meta verilerini alma olanağı sağlar ve Kusari, daha iyi görünürlük ve eyleme dönüştürülebilir öngörüler sağlamak için güvenlik açıklarının, lisans bilgilerinin ve sürüm değişikliklerinin ne zaman oluştuğunu gösteren kullanımı kolay kontrol panellerine öngörüler ekler. Kusari, Adobe, Bloomberg, Google, Guidewire, Microsoft, Red Hat, Yahoo! ve diğerleri gibi kuruluşlarda aktif bir bakımcı ve benimsemeyi destekleyen bir kişi olarak GUAC topluluğuna bağlılığını sürdürüyor.
Kusari’nin yeni platformunun lansmanı, şirketin Tohum Öncesi ve Tohum Turu finansmanında 8 milyon dolarlık yakın zamanda yaptığı duyurunun ardından geldi.