Yaklaşık sekiz yıldır ActiveState’te bulunduğum için ürünümüzün birçok versiyonunu gördüm. Ancak yıllar geçtikçe bir şey doğru kaldı: Açık kaynak topluluğuna ve kodlarında açık kaynak kullanan şirketlere olan bağlılığımız.
ActiveState, on yılı aşkın bir süredir işletmelerin açık kaynağı yönetmesine yardımcı oluyor. İlk zamanlarda açık kaynak henüz emekleme aşamasındaydı. Windows gibi platformlarda açık kaynak elde edilmesine yardımcı olmak için esas olarak geliştirici vakasına odaklandık.
Zamanla odak noktamız, şirketlerin açık kaynak çalıştırmasına yardımcı olmaktan, topluluğun ihtiyaç duyduğu şekilde üretmediği durumlarda açık kaynağı yöneten işletmeleri desteklemeye doğru kaydı. Yapıları geniş ölçekte yönetmeye ve işletmelerin hangi açık kaynağı kullandıklarını ve bunun uyumlu ve güvenli olup olmadığını anlamalarını desteklemeye başladık.
Büyük bir kuruluşta açık kaynağı geniş ölçekte yönetmek karmaşık olabilir. Şirketlerin bu durumun üstesinden gelmelerine ve açık kaynak DevSecOps uygulamalarına yapı getirmelerine yardımcı olmak için açık kaynak karmaşıklığını yönetmeye yardımcı olacak uçtan uca platformumuzu tanıtıyoruz.
Açık kaynak ve tedarik zinciri güvenliğinin mevcut durumu
Açık kaynağın artan popülaritesiyle birlikte güvenlik sorunlarının da ortaya çıkması kaçınılmazdır. Modern yazılım uygulamalarında açık kaynağın benimsenmesi önemlidir. Uygulamaların %90’ından fazlası açık kaynak bileşenleri içerir. Açık kaynak artık yazılım üretme şeklimizin temelini oluşturuyor ve kötü aktörlerin neredeyse her yazılım parçasına erişmesinin birincil vektörü olduğu bir noktaya ulaştık.
Saldırılar her zaman var, ancak son yıllarda artan sayıda olay yaşanıyor. Pandemi kötü aktörler için yeni fırsatlar ortaya çıkardı. İnsanlar kendi ev ağlarını ve VPN’lerini daha az katı güvenlik önlemleriyle kullanmaya başladığında, bu daha fazla riske izin vermeye başladı. Ofise dönüş çabalarına rağmen birçok BT çalışanı hâlâ evde olduğundan bu fırsatlar hâlâ mevcut.
Buna ek olarak, pek çok işletmenin açık kaynak yazılımları nasıl seçecekleri ve tedarik edecekleri konusunda mevcut süreçleri yoktur, bu nedenle geliştiriciler onu körü körüne bulur ve dahil eder. Buradaki zorluk, şirketlerin açık kaynak kodunun nereden geldiğini, onu kimin oluşturduğunu ve hangi niyetle olduğunu bilmemesidir. Bu, açık kaynaklı yazılım tedarik zinciri süreci boyunca saldırıların gerçekleşmesi için birçok fırsat yaratır.
Açık kaynak açık bir ekosistemdir ve bu da onu ‘tasarım gereği’ savunmasız hale getirir. Yazarların katkıda bulunmasını engellememek için mümkün olduğunca açık olması gerekiyor, ancak tüm geliştirme süreci boyunca onu güvende tutmanın gerçek bir zorluğu var.
Riskler yalnızca ithalat yaparken mevcut değildir. Derlemeye başladığınızda derleme hizmetiniz güvenli değilse risk altında olabilirsiniz. Gördüğümüz en son saldırıların çoğu, güvenlik açıkları değil, açık kaynaklı yazılım tedarik zinciri saldırılarıdır. Bu, açık kaynak güvenliğine tamamen yeni bir yaklaşım gerektirir.
Açık kaynak yönetimi sürecini yeniden tasarlamak
ActiveState’te açık kaynak tedarik zincirine titizlik kazandırmak misyonumuzdur. Şirketler, dört adımlı bir yönetim döngüsüne odaklanarak DevSecOps genelinde açık kaynak kodları üzerinde daha iyi görünürlük ve kontrol elde edebilir.
1. Adım: Keşif
Güvenlik açıklarını gidermeye başlamadan önce kodunuzda ne kullandığınızı bilmeniz gerekir. Kuruluşunuzda çalışan tüm açık kaynakların envanterini çıkarmak önemlidir. Bu çabanın bir eseri bir gösterge panosuna benzeyebilir.
2. Adım: Önceliklendirme
Kontrol panelini aldıktan sonra güvenlik açıklarını ve bağımlılıkları analiz etmeye başlayabilir ve önce hangisine odaklanacağınızı önceliklendirebilirsiniz. Risklerin kod tabanınızda nerede olduğunu anlamak ve bunları önceliklendirmek, sonraki adımlar hakkında bilinçli kararlar vermenize yardımcı olacaktır.
3. Adım: Yükseltme ve düzenleme
Şimdi iyileştirme ve değişiklik yönetimi aşaması geliyor. Herkesin işlevler ve ekipler arasında uyumlu olmasını sağlamak için kuruluşunuz genelinde açık kaynağı yönetmeye yönelik yönetişim ve politikalar oluşturmak isteyeceksiniz.
Riski en aza indirmek için hem üretim hem de geliştirme ortamlarında hangi bağımlılıkların kullanıldığını da yakından yönetmelisiniz.
Platformumuzda geniş, değişmez bir açık kaynak yazılım kataloğu bulunduruyoruz. Yaklaşık 50 milyon versiyon bileşeninin tutarlı, tekrarlanabilir bir kaydını tutuyoruz ve buna sürekli eklemeler yapıyoruz. Kullanıcılarımızın her zaman tekrarlanabilir yapılara geri dönebileceklerinden emin olmalarına yardımcı olur. Bu, güvenli olduğuna güvenerek tüm interneti açık kaynak için seçebileceğiniz anlamına gelir.
4. Adım: Oluşturun ve dağıtın
Oluşturma ve dağıtma aşaması, güvenli ve emniyetli açık kaynak bileşenlerini kodunuza dahil etmeyi içerir; çünkü düzeltmeler dağıtılana kadar gerçek anlamda sorun çözülmez ve güvende olmazsınız. ActiveState’te her şeyi oluşturuyor ve takip ediyoruz. Kaynak kodunu aldığımız andan onu güvenli bir kümeye oluşturduğumuz ana kadar. Daha sonra ihtiyaçlarınıza göre dağıtılacak çeşitli formatlarda size veriyoruz. Yazılım tedarik zinciri güvenliğini sağlamanın tüm yaşam döngüsünü tamamlayarak şirketlerin iyileştirme ve dağıtım yapmasına gerçekten yardımcı olan (bildiğimiz kadarıyla) tek çözüm biziz.
Yeni bir ActiveState: Açık kaynak güvenliği sorunlarıyla doğrudan mücadele etmek
Geçtiğimiz on yılda açık kaynak üzerinde yaptığımız çalışmalar sayesinde, açık kaynak üreten tutkulu topluluklar ile bunu yazılımlarında kullanmak isteyen işletmeler arasında bir boşluk olduğunu keşfettik. Artık kuruluşlara güvenlik getirirken açık kaynak ekosistemini güçlendirerek bu açığı kapatmaya yardımcı oluyoruz.
Geliştirdiğimiz ve geliştiriciler, DevOps ve güvenlik dahil olmak üzere kuruluşlardaki çeşitli oyuncular arasındaki işbirliğini kolaylaştırmaya odaklandığımız yenilenen platform. Platformumuz ekiplerin açık kaynak yönetimine ilişkin sürekli bir döngüyü sorunsuz bir şekilde yürütmelerine yardımcı olur.
Ekiplerin sonuçlara ulaşmalarına yardımcı olmaya odaklandığımız altı temel kullanım durumu var.
- Keşfedilebilirlik ve gözlemlenebilirlik: Açık kaynak kullanımından dağıtım konumlarına kadar her şey hakkında eksiksiz bilgi edinin.
- Sürekli açık kaynak entegrasyonu: Kodunuzu güncel tutun, değişikliklerden kaçının ve riski ortadan kaldırın.
- Güvenli ortam yönetimi: Geliştirme, test ve üretim ortamlarınızın tutarlı ve tekrarlanabilir olduğundan emin olun.
- Yönetişim ve politika yönetimi: Geliştirme sürelerini yavaşlatmadan seçilmiş bir açık kaynak kataloğunu koruyun.
- Mevzuata uygunluk: Resmi düzenlemelere otomatik olarak uyun ve güvenlik incelemelerini hızlandırın.
- Kullanım ömrü sonu desteğinin ötesinde: Sistemler ömrünün sonuna geldikten sonra bile istikrarlı ve güvende kalın
Ekibiniz bu kullanım durumlarından herhangi biri için destekten yararlanabiliyorsa yeni platformumuz yardımcı olabilir. Yenilenen ActiveState platformunu bugün Platform Kurumsal Deneme sürümüyle keşfedin.
Not: Bu bilgilendirici makale, ActiveState Kıdemli Ürün Direktörü Pete Garcin tarafından açık kaynak yönetiminde gelişen zorluklar ve çözümlere ilişkin uzmanlığını ve benzersiz bakış açısını paylaşarak sizlere sunulmaktadır.