Açık Bilgi İşlem Projesi, veri merkezi donanım ve ürün yazılımı güvenliğini iyileştirmek amacıyla bu hafta OCP Zirvesi etkinliğinde Güvenlik Değerlendirme Çerçevesi ve Etkinleştirme (SAFE) programını duyurdu.
Program, açık kaynaklı, standartlaştırılmış bir denetim kontrol listesi ve cihaz donanım yazılımını inceleyecek üçüncü taraf denetçilerin seçilmesine yönelik kriterler sağlayacak. Fikir iki yönlüdür: OCP topluluğunun cihaza özel bir denetim kontrol listesi ve denetçi seçimi için kriterler geliştirmesini sağlayın ve ardından müşterilerin, ürün yazılımını doğrulamak için kontrol listesini kullanan denetçileri seçmek için kriterleri kullanmasını sağlayın. OCP’ye göre çerçevenin, cihaz güvenliği incelemeleriyle ilgili maliyetleri ve fazlalığı azaltması amaçlanıyor.
Şu anda güvenlik olarak kayıtlı kuruluşlardan biri olan IOActive CTO’su Gunter Ollmann, “OCP SAFE Programı, günümüz bulutunun tam kalbinde yer alan cihazların güvenliğini ve bütünlüğünü test etmek, doğrulamak ve garanti altına almak için tutarlı bir çerçeve tanımlar ve uygular” dedi. programın sağlayıcısını inceleyin. “Donanım ve ürün yazılımına yönelik benzersiz güvenlik gereksinimlerini sürdürmek ve uygulamakta zorlanan veri merkezi sahipleri ve birçok veri merkezi müşterisi genelinde örtüşen ve tutarsız gereksinimlerden oluşan maliyetli bir yapbozun parçalarını bir araya getirmek zorunda kalan cihaz satıcıları artık tek bir çözüme göre uyum sağlayabilirler. Akredite ve karşılıklı olarak güvenilen bir güvenlik denetçileri havuzu tarafından sağlanan tutarlı ve sıkı metodoloji.”
Şu anda, donanım yazılımının bağımsız üçüncü taraf denetimleri karmaşıktır çünkü denetimin sonuçlarını yalnızca müşterilerin bir alt kümesi görebilmektedir. SAFE’nin amacı, cihaz ve sistem üreticilerinin, yazılımlarını denetlemesi için OCP onaylı bir güvenlik inceleme sağlayıcısını görevlendirmesine ve ardından sonuçları müşterilerle paylaşmasına olanak sağlamaktır. OCP’ye göre, bu çerçeveyle bulut sağlayıcıları ve veri merkezi operatörleri, ortamlarındaki kritik ürün yazılımı güncellemelerini alma, güvenme ve dağıtma hızını artırabilir.
Alex Matrosov’a göre program, cihaz yazılımı güvenliği gibi siber güvenlikte yetersiz hizmet verilen alanlara daha fazla dikkat çektiği için doğru yönde atılmış bir adım olsa da, odak noktası hala maliyetli ve yavaş denetimler olduğundan ekosistemi etkilemek için yeterli olmayabilir. Binarly’nin kurucusu ve CEO’su. “Daha önce denediğimiz yaklaşımların bir kombinasyonunu görüyorum ama maalesef pek değişmiyor” diyor.
SAFE denetimlerinin sonuçlarının uzun vadede nasıl görüneceği, ekosistem üzerinde ne tür bir etki yaratacağı belli değil.
Matrosov, “Manuel kod incelemelerine büyük ölçüde güvenmek, doğası gereği ölçeklenebilirlik açısından sınırlıdır ve insan faktörlerinden derinden etkilenir” diyor. “Bu tür iş akışlarını uygulamaya koymak, kod denetim atölyeleri için istikrarlı çalışmayı garanti etse de, uygun araç ve otomasyon desteği olmadan bunların etkinliği konusunda şüphelerim devam ediyor.”
Binarly, yıl boyunca 400’den fazla “yüksek etkili güvenlik açığı” ortaya çıkardı ve bunların düzeltilmesine yönelik zaman çizelgesi hala çok yavaş. Örneğin, Binarly’nin geçen Ocak ayında Qualcomm ile yaptığı ortak açıklamadan sonra bile Microsoft, ARM cihazlarına yama uygulamayı tamamlamadı. Matrosov, bazı şeylerin değişmesi için sektörün “güvenlik açığı keşfi, risk değerlendirmesi ve önceliklendirmede otomasyonu” vurgulaması gerektiğini söylüyor.