3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi
Anlaşma, Yazılım Tedarik Zincirindeki Açık Kaynak Kitaplığı Risklerini Hedefliyor, DevSecOps’u Artırıyor
Michael Novinson (MichaelNovinson) •
17 Aralık 2024
Sonar, üçüncü taraf açık kaynak kod kitaplıklarının bakımını ve güvenliğini sağlamak için eski bir Red Hat yöneticisi tarafından yönetilen bir girişim satın almayı planlıyor.
Ayrıca bakınız: İsteğe Bağlı | Satıcınızın Erişimini Üçüncü Tarafların Güvenlik Açıklarına Yönelik Saldırılara Karşı Koruyun
Büyüme ve Yeni Girişimlerden Sorumlu Başkan Yardımcısı Harry Wang’a göre, Cenevre merkezli kod güvenliği satıcısı, Boston merkezli Tidelift’in benzersiz açık kaynak bakımcıları ağından elde edilen insan tarafından doğrulanmış istihbaratın hem kod kalitesini hem de güvenliği artıracağını söyledi. Satın almanın, Sonar’ın birinci taraf ve yapay zeka tarafından oluşturulan kodlardaki mevcut yeteneklerini tamamladığını ve yapay zeka kod doğrulamasının geliştirilmesine yardımcı olacağını söyledi.
Wang, Information Security Media Group’a şunları söyledi: “Bu, Sonar’ın misyonuna geri dönmektir.” “Geliştiricilerin ve kuruluşlarının gerçekten daha iyi yazılım geliştirmelerine yardımcı olma işindeyiz. Bunu, koddaki kalite ve güvenlik sorunlarını ortaya çıkararak ve aynı zamanda onlara bunların nasıl düzeltilebileceği konusunda önerilerde bulunarak yapıyoruz.”
Tidelift 2017 yılında kuruldu, 64 kişiyi istihdam ediyor ve 73,5 milyon dolarlık dış finansman topladı; en son Dorilton Ventures liderliğindeki 33,5 milyon dolarlık C Serisi finansman turunu tamamladı. Şirket, kuruluşundan bu yana, daha önce Red Hat’te beş yıl, Greylock Partners’ta beş yıl ve General Catalyst Partners’ta dört yıl çalışmış olan Donald Fischer tarafından yönetilmektedir (bkz.: Sonar, Structure101 ile Kod Mimarisi İçgörüleri Ekliyor).
Tidelift’in Üçüncü Taraf Kodlara Yaklaşımını Farklı Kılan Nedir?
Tidelift’in satın alınması, Wang’ın modern yazılım kod tabanlarının çoğunluğunu oluşturduğunu söylediği üçüncü taraf açık kaynak kitaplıklarına yönelik olarak Sonar için önemli bir ileri adıma işaret ediyor. Wang, açık kaynak kütüphaneleri izleyen ve bakımını yapan 400’den fazla bakımcıyla Tidelift’in, üçüncü taraf kütüphane güvenliğindeki boşlukları gidererek Sonar’ın ekosistemine insan tarafından doğrulanmış zekayı getirdiğini söyledi.
Wang, “Bugün odak noktamız çoğunlukla bu geliştiricilerin kendi başlarına yazdıkları kod veya yapay zeka sistemleri tarafından sunulan kod oldu” dedi. “Tidelift’in satın alınmasıyla birlikte, birleştirilmiş yetenek, kalite sorunumuzu, güvenlik sorunu tespitimizi ve iyileştirmemizi gerçekten üçüncü taraf koduna kadar genişletiyor.”
Bilinen güvenlik açıklarına ilişkin veritabanlarına dayanan diğer çözümlerden farklı olarak Wang, Tidelift’in kütüphanelerin geliştiricileriyle bizzat etkileşime geçerek güvenlik açıkları, yamalar ve güncellemeler hakkında doğru, gerçek zamanlı bilgilerden oluşan doğrudan bir boru hattı oluşturduğunu söyledi. Sonar, uçtan uca kod analizi ve koruması sağlamak için insan tarafından doğrulanan bu zekayı mevcut yazılım geliştirme ve güvenlik araçlarına dahil edecek.
Wang, “Yetenekleri gerçekten bir araya getirdiğimizde ve bunları bir araya getirdiğimizde, yalnızca üçüncü taraf kodu hakkında kapsamlı, insanlar tarafından doğrulanmış istihbarata sahip olmakla kalmıyoruz, aynı zamanda döngüdeki insan bakıcı nedeniyle aslında bir düzeyde güvence de elde ediyoruz” dedi. .
Wang, kuruluşların kod tabanlarına doğrudan erişim veya kontrol olmaksızın genellikle açık kaynak kitaplıklara güvenmeleri nedeniyle üçüncü taraf kod güvenliğinin farklı zorluklar ortaya çıkardığını söyledi. Birinci taraf kodlardan farklı olarak, üçüncü taraf kitaplıkların bakımı harici olarak yapılır ve bu da sorunları proaktif olarak tespit etmeyi ve çözmeyi zorlaştırır. Mevcut çözümlerin çoğu, geçerliliğini yitirmiş olabilecek güvenlik açığı veritabanlarının taranmasına ve çapraz referanslanmasına dayanmaktadır.
Wang, “Genel olarak eksik olan şey, bu üçüncü taraf kütüphanelerde neler olup bittiğini izlemeye yönelik doğrudan bir yaklaşımdır” dedi.
Entegrasyon, Tidelift’in insanlar tarafından doğrulanmış zekasını API’ler aracılığıyla SonarQube’e bağlamayı içerecek ve Wang, bunun müşterilerin üçüncü taraf kitaplıkları analiz etmesine ve Tidelift’in içgörülerine doğrudan SonarQube arayüzünden erişmesine olanak tanıyacağını söyledi. Bu, API’ler veya paylaşılan altyapı yoluyla entegrasyonun nasıl işleyeceğini belirlemek için her iki firmanın mühendislik ekipleri arasındaki işbirliğini içerecektir.
Wang, “API açısından bakıldığında aslında perde arkasında yekpare bir altyapı olmayabiliriz” dedi. “Aslında iki ayrı altyapı arka ucu olabiliriz, ancak daha sonra ürünü API aracılığıyla bir araya getiriyoruz.”
Tidelift, Yapay Zeka Tarafından Oluşturulan Kodun Güvenliğinin Sağlanmasına Nasıl Yardımcı Olabilir?
Wang, açık kaynak bakımcılarının Tidelift’in sunduğu hizmetlerin omurgasını oluşturduğunu, bu kişilerin yaygın olarak kullanılan açık kaynak kitaplıkların sağlığını ve güvenliğini denetlediğini, güvenlik açıklarını ele aldığını ve gelişen yazılım ekosistemleriyle uyumluluğu sağladığını söyledi. Sonar için bu ağ, güvenliği artırmak için SonarQube’a entegre edilebilecek yüksek kaliteli, insan tarafından doğrulanmış istihbarata giden doğrudan bir boru hattını temsil ediyor.
Wang, “Bu bilgi, hem bu bilgilerin Tidelift kullanıcısına ve müşterilere sunulması hem de Tidelift’in yazılım tedarik zincirinin bir parçası olarak gönderdiği tasdikin kullanılması açısından Tidelift’in teklifine dahil ediliyor” dedi.
Wang, geliştiricilerin, Tidelift’in döngüdeki insan yaklaşımını kullanarak yapay zeka tarafından oluşturulan kodun hem işlevsel hem de güvenli olduğuna dair daha fazla güvence alabileceklerini söyledi. Spesifik planlar hala geliştirilme aşamasında olsa da Wang, vizyonunun yapay zeka çıktılarını doğrulamak ve iyileştirmek için bir geri bildirim döngüsü oluşturmak amacıyla Tidelift ağını kullanmak olduğunu söyledi.
“Uzayımızda yapay zekaya güvenebileceğimizi nasıl bileceğiz?” dedi Wang. “Yapay zeka tarafından oluşturulan kodun işlevsel olarak doğru olduğunu ve güvenlik açısından güvenli olduğunu nasıl anlarsınız?”
Wang, Tidelift ile Sonar’ın yazılım tedarik zincirini güvence altına almak ve uygulamalarda kullanılan birinci taraf, yapay zeka tarafından oluşturulan ve üçüncü taraf kitaplıkların güvenliğini sağlamak için kapsamlı bir çözüm sunabileceğini söyledi. Wang, uyumluluğun kritik olduğu finans ve kamu gibi sektörler için Tidelift bakımcılarının açık kaynak bileşenlerinin güvenli ve güvenilir olduğuna dair ek güvence sağladığını söyledi.
Wang, doğru, eyleme geçirilebilir bilgiler ve iyileştirme önerileri sunarak, ortak Sonar-Tidelift platformunun bu gruplar arasındaki sürtüşmeyi azalttığını ve güvenlikten ödün vermeden daha hızlı gelişime olanak sağladığını söyledi. Sonar, yalnızca en alakalı sorunları ortaya çıkararak ve açık düzeltme yolları sağlayarak, güvenlik endişelerinin giderilmesini kolaylaştırarak geliştirici deneyimini optimize etmek istiyor.
Wang, “Her zaman geliştiriciler için neyin iyi olduğuna odaklandık ve bu, yalnızca uzun bir sorun listesine rastgele öncelik vermek değil, doğru bilgileri getirmek, kesin sorunları ortaya çıkarmak anlamına geliyor” dedi. “Geliştiricilerin aşırı yüklendiğine dair şikayetleri her zaman duyuyoruz, bu nedenle aslında geliştiriciler için optimizasyon yapıyoruz.”
Yazılım geliştirme sektörü hızlı bir konsolidasyon ve inovasyon sürecinden geçiyor ve Wang, Sonar’ın stratejik satın alma fırsatlarını keşfetme konusunda aktif kalmayı planladığını söyledi. Ekim ayında Sonar, kod yapısı analizi öncüsü Structure101’i satın aldı ve Wang, şirketin ek satın almalar gerçekleştirmek için güçlü bir mali pozisyonda olduğunu söyledi.
Wang, “Tüm bu sektör konsolidasyon sürecinden geçiyor, bu nedenle gözlerimizi açık ve net tutuyoruz” dedi.