Federal Soruşturma Bürosu (FBI), Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ACSC) ve Kanada Siber Güvenlik Merkezi (CCCS) ile işbirliği içinde Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bellek güvenliğini ele almayı amaçlayan kapsamlı bir kılavuz yayınladı. Kritik açık kaynak yazılım (OSS) projelerindeki güvenlik açıkları. Bu girişim, “Bellek İçin Güvenli Yol Haritaları Örneği”nde ana hatlarıyla belirtildiği gibi, bellek güvenliğiyle ilişkili risklerin azaltılmasının önemini vurgulamaktadır.
Bellek Güvenliği Yol Haritaları Örneği ile Bellek Güvenliği Açıklarını Anlamak
Bellek güvenliği açıkları, yazılım bütünlüğüne ve güvenliğine yönelik tehditler oluşturarak, sık yama uygulanması ve olaylara müdahale edilmesi gibi maliyetli sonuçlara yol açar. Bu zorlukların farkında olan CISA, yazılım üreticileri tarafından bellek açısından güvenli yol haritalarının benimsenmesini savunuyor. Bu yol haritaları, özellikle OSS bileşenlerini içeren dış bağımlılıklarda bellek güvenliği endişelerini gidermek için tasarlanmıştır.
CISA, FBI, ACSC ve CCCS’nin ortak raporu, bellek güvenliği risklerine karşı savunmasızlıklarını değerlendirmek için 172 kritik OSS projesini analiz etti. Bulgular, bu projelerin önemli bir kısmının bellek açısından güvenli olmayan dillerde yazıldığını ve projelerin %52’sinin bu tür kodlar içerdiğini ortaya koyuyor. Daha da çarpıcı bir şekilde, bellek açısından güvenli olmayan diller, incelenen tüm projelerdeki toplam kod satırlarının %55’ini oluşturuyor.
Rapor, küresel dijital altyapı için kritik olan en büyük OSS projelerinin çoğunun ağırlıklı olarak bellek açısından güvenli olmayan dillere dayandığının altını çiziyor. Örneğin, analiz edilen en büyük on proje arasında, bellek açısından güvenli olmayan kodun ortalama oranı %62,5’tir; bu, önde gelen yazılım girişimlerinde bile bu sorunun yaygın doğasını vurgulamaktadır.
Etkiler ve Sektörün Tepkisi
Rust gibi bellek açısından güvenli programlama dillerini teşvik etme çabalarına rağmen analiz, bellek açısından güvenli dillerde yazıldığı iddia edilen projelerin sıklıkla bellek için güvenli olmayan dillerde kodlanan bağımlılıkları içerdiğini buldu. Bu karşılıklı bağımlılık, karmaşık yazılım ekosistemlerinde kapsamlı bellek güvenliği sağlamanın karmaşıklığını vurgulamaktadır.
Bu bulgulara yanıt olarak CISA, kuruluşları ve yazılım üreticilerini çeşitli proaktif adımlar atmaya çağırıyor. Önemli tavsiyelerden biri, açık kaynak yazılımdaki (OSS) bellek güvenliği açıklarını azaltmaya yönelik çabalara öncelik verilmesidir. Kuruluşlar bu güvenlik açıklarını gidererek yazılım ortamlarının genel güvenlik duruşunu güçlendirebilir.
Ek olarak CISA, yazılım bağımlılıkları söz konusu olduğunda bilinçli karar vermenin önemini vurgulamaktadır. Kuruluşların, bellek güvenliği hususlarına dayalı olarak yazılımları dikkatli bir şekilde değerlendirmeleri ve seçmeleri teşvik edilmektedir. Bu stratejik yaklaşım, OSS’deki potansiyel güvenlik açıklarıyla ilişkili risklerin azaltılmasına yardımcı olabilir.
Ayrıca CISA, bellek güvenli uygulamaların ve dillerin benimsenmesini ilerletmek için OSS topluluğuyla iş birliği çağrısında bulunmaktadır. Sektör paydaşları birlikte çalışarak daha güvenli yazılım çözümlerinin geliştirilmesine ve uygulanmasına katkıda bulunabilirler.