Bugünün erken saatlerinde uzmanlar, bu yıl şimdiye kadar 88.000 kötü amaçlı açık kaynak paketi ortaya çıkardı; bu, 2019’daki aynı rakamda üç basamaklı bir artış ve hızla büyüyen bir kurumsal saldırı yüzeyinin göstergesi.
Sonatype’ın sekizinci yıllık Yazılım Tedarik Zincirinin Durumu Kamuya açık ve tescilli veri analizinden derlenen rapor, 131 milyar Maven Central indirmesi ve binlerce açık kaynak projesi dahil olmak üzere rakamları ortaya koydu.
Özellikle, hem tehdit aktörleri tarafından depolara eklenen kötü amaçlı paketlerden hem de DevOps ekipleri tarafından farkında olmadan indirilen kazara güvenlik açıklarından kurumsal sistemlere yönelik artan riski ayrıntılarıyla anlatıyor.
Ek olarak, kötü niyetli faaliyetlerdeki artış, bu ekipler tarafından pazara çıkış süresini hızlandırmak için açık kaynak paketlerinin artan kullanımının kanıtıdır. Sonatype, açık kaynak isteklerinin bu yıl üç trilyonu aşacağını tahmin ediyor.
Satıcı, açık kaynak tüketiminin büyük ölçeğinin ve yazılım bağımlılıklarının getirdiği ekstra karmaşıklığın, geliştiriciler tarafından tehditlerin ve güvenlik açıklarının gözden kaçırılması anlamına gelebileceğini savundu.
Buna göre, ortalama Java uygulamasının şimdi 148 bağımlılık içerdiğini iddia etti – geçen yıla göre 20 daha fazla. Sonatype’ın tahminine göre, ortalama Java projesinin yılda 10 kez güncellenmesiyle, geliştiricilerin üzerinde çalıştıkları her uygulama için yılda yaklaşık 1500 bağımlılık değişikliğine ilişkin zekayı izlemesi gerekiyor.
Bu geliştirme ortamlarına ilişkin görünürlük eksik gibi görünse de: geçen yıl boyunca açık kaynak projelerini etkileyen her yedi hatadan altısının geçişli bağımlılıklardan kaynaklandığını iddia etti.
Raporda, genel olarak, bilinen güvenlik açıklarını içeren açık kaynaklı Java indirmelerinin %96’sının önlenebileceği biliniyor, çünkü daha iyi bir sürüm mevcuttu ancak bazı nedenlerden dolayı kullanılmadı.
Ne yazık ki, birçok kuruluş yanlış bir güvenlik duygusu altında faaliyet gösteriyor gibi görünüyor.
Buna ek olarak rapor, ankete katılanların %68’inin uygulamalarının savunmasız kitaplıklar kullanmadığından emin olduğunu da ortaya koydu. Ancak, rastgele bir kurumsal uygulama örneği, %68’inin bilinen güvenlik açıkları içerdiğini gösterdi.
“Olgun olmayan kuruluşlar, geliştiricilerinin lisans uyumluluğu endişelerinin, çoklu proje sürümlerinin, bağımlılık değişikliklerinin ve açık kaynak ekosistem bilgilerinin yanı sıra düzenli iş sorumluluklarının üstünde kalmasını bekliyor. Bu, hız gibi dış baskılara ek olarak,” diye açıklıyor Sonatype CTO’su Brian Fox.
“İş memnuniyetinin yazılım tedarik zinciri uygulamalarının olgunluğuyla büyük ölçüde bağlantılı olması şaşırtıcı değil. Bu iç karartıcı gerçek, kuruluşların güvenlik riskiyle daha iyi başa çıkabilmeleri, geliştirici verimliliğini artırabilmeleri ve daha hızlı yeniliği mümkün kılabilmeleri için yazılım tedarik yönetimine öncelik vermeleri gerektiğini gösteriyor.”