Güncel olmayan ve yeterince bakımı yapılmayan bileşenlerin yanı sıra güvenli olmayan bağımlılıklarla açık kaynak ekosistemi, kuruluşları tehditlere maruz bırakabilecek çok sayıda risk sunar. Bu makalede kuruluşunuzun yazılım güvenliği uygulamalarını güçlendirmesine yardımcı olabilecek 2024 açık kaynak güvenlik raporlarından alıntılar bulacaksınız.
Açık kaynak bileşenlerinin %70’inin bakımı yetersiz veya artık yapılmıyor
Coğrafi kökene bakılmaksızın, ortalama orta ölçekli uygulamanın kritik güvenlik açıklarına yol açan birçok rahatsız edici eğilimi vardır. Açık kaynak, geliştiricilerinizin yazdığı kodun 2 ila 9 katı kadar katkıda bulunur ve güvenlik zayıflıklarının %95’i açık kaynak paket bağımlılıklarından kaynaklanır. Tüm CVE önem düzeylerinde bu güvenlik açıklarının %51’inin bilinen bir çözümü yoktur.
Ücretli açık kaynak bakımcıları güvenliğe daha fazla zaman harcıyor
Ücretli bakımcıların kritik güvenlik ve bakım uygulamalarını uygulama olasılıkları ücretsiz bakımcılara göre %55 daha fazladır ve OpenSSF Puan Kartı ve NIST Güvenli Yazılım Geliştirme Çerçevesi (SSDF) gibi endüstri standartlarında yer alan güvenlik uygulamalarını uygulamaya daha fazla zaman ayırmaktadırlar.
Açık kaynak yazılım bağımlılıklarındaki eğilimler ve tehlikeler
Açık kaynak kitaplıktaki bir güvenlik açığından yararlanılabilmesi için, en azından uygulamadan o kitaplıktaki güvenlik açığı bulunan işleve bir çağrı yolu bulunmalıdır. Rapor, bunun incelenen yedi dildeki (Java, Python, Rust, Go, C#, .NET, Kotlin ve Scala) tüm güvenlik açıklarının %9,5’inden azında doğru olduğunu tespit ediyor. Araştırma aynı zamanda ortaya çıkan risklere yanıt verme hızına da dikkat çekiyor. Bu, güvenlik açığı uyarılarının yaklaşık %70’inin ilgili güvenlik sürümünden sonra ortalama 25 günlük bir gecikmeyle yayınlandığını ortaya koyuyor.
GitHub Eylemleri iş akışlarının çoğu bir şekilde güvensizdir
Legit, topluluk tarafından GitHub Actions yeteneklerini geliştirmek için geliştirilen Action’ların güvenlik durumunu buldu. Piyasadaki 19.113 özel GitHub Eyleminden yalnızca 913’ü doğrulanmış GitHub kullanıcıları tarafından oluşturuldu; %18’inin savunmasız bağımlılıkları vardı; 762 arşivleniyor ve düzenli güncelleme almıyor; ortalama OSSF güvenlik puanı 10 üzerinden 4,23’tü; ve çoğu tek bir geliştirici tarafından korunur.
GitHub’da açığa çıkan sırların %90’ı en az beş gün boyunca aktif kalıyor
Geçen yıl eklenen 50 milyon yeni kod deposuyla (+%22) GitHub’daki artan sayıda kod deposu, hassas bilgilerin hem kazara hem de kasıtlı olarak açığa çıkması riskini artırıyor. Araştırma önemli bir güvenlik açığına ışık tutuyor: Geçerli bir sırrın açığa çıkması üzerine %90’ı, yazar bilgilendirildikten sonra bile en az beş gün boyunca aktif kalıyor.