XZ Utils Scare, Yazılım Güvenliğindeki Acı Gerçekleri Ortaya Çıkarıyor


Yakın zamanda XZ Utils veri sıkıştırma yardımcı programında (neredeyse tüm büyük Linux dağıtımlarında mevcut olan) bir arka kapının keşfedilmesi, açık kaynak bileşenleri kullanan kuruluşların yazılımın güvenliğinin sağlanması konusunda nihai sorumluluğun kendilerine ait olduğunu hatırlatıyor.

XZ Utils, diğer binlerce açık kaynak projesi gibi gönüllüler tarafından yürütülüyor ve bu durumda onu yöneten tek bir bakımcı var. Bu tür projelerin genellikle güvenlik sorunlarını ele almak için çok az kaynağı vardır veya hiç yoktur; bu da kuruluşların yazılımı riskleri kendilerine ait olmak üzere kullanması anlamına gelir. Güvenlik uzmanları, bunun, güvenlik ve geliştirme ekiplerinin, açık kaynak riskini yönetmek için dahili olarak geliştirilen kodlarla aynı şekilde önlemler uygulaması gerektiği anlamına geldiğini söylüyor.

“Bir kuruluşun etkili bir şekilde önlemesi pek mümkün olmasa da [all] Tedarik zinciri risklerine maruz kalan kuruluşlar, bir tedarik zinciri saldırısının başarılı olma olasılığını azaltacak bir stratejiye kesinlikle odaklanabilirler” diyor Endor Labs’ın kurucu ürün müdürü Jamie Scott.

Açık kaynak, dış kaynak kullanımıyla aynı şey değildir: “Yazılımın açık kaynak bakımcıları gönüllülerdir. Endüstri düzeyinde onlara bu şekilde davranmamız gerekir. Yazılımımız bize aittir; yeniden kullandığımız yazılımlardan biz sorumluyuz.”

İyi Niyetli, Yetersiz Kaynaklı

Açık kaynak yazılım güvenliğine ilişkin endişeler hiçbir şekilde yeni değil. Ancak çoğu zaman aşağıdaki gibi keşifler gerekir: Log4Shell güvenlik açığı ve XZ Utils’te arka kapı kuruluşların kodlarındaki bileşenlere karşı ne kadar savunmasız olduğunu gerçekten anlamak için. Ve çoğu zaman kod, iyi niyetli ancak kaynakları yetersiz olan ve asgari düzeyde bakımı yapılan açık kaynaklı projelerden gelir.

Örneğin XZ Utils aslında tek kişilik bir projedir. Başka bir kişi başardı arka kapıyı yardımcı programa gizlice sokun yaklaşık üç yıllık bir süre boyunca, yavaş yavaş proje sahibinin yeterli güvenini kazanarak. Eğer bir Microsoft geliştiricisi Mart ayı sonlarında Debian kurulumuyla ilgili tuhaf davranışları araştırırken bu fırsatı yakalamasaydı, arka kapı büyük şirketlere ve devlet kurumlarına ait olanlar da dahil olmak üzere dünya çapında milyonlarca cihaza ulaşmış olabilirdi. Arka kapının minimum düzeyde etkisi olduğu ortaya çıktı çünkü yalnızca Debian, Fedora, Kali, açık SUSE ve Arch Linux’un kararsız ve beta sürümlerinde bulunan XZ Utils sürümlerini etkiledi.

Bir sonraki açık kaynak kod uzlaşması çok daha kötü olabilir. Tidelift’in kurucu ortağı ve CEO’su Donald Fischer, “Kurumsal kuruluşlar için en korkutucu kısım, uygulamalarının tıpkı XZ Utils gibi açık kaynaklı yazılım projeleri üzerine inşa edilmesidir” diyor. “XZ Utils, tipik kurumsal kuruluşlar tarafından her gün kullanılan on binlerce paketten biridir” diyor.

Kendisi, bu kuruluşların çoğunun, riski değerlendirebilmek için yazılım tedarik zincirinin bu bölümünün güvenliği ve dayanıklılığı konusunda yeterli görünürlüğe sahip olmadığını belirtiyor.

Yakın zamanda Harvard İşletme Okulu Çalışma, açık kaynaklı yazılımın talep tarafı değerinin şaşırtıcı bir şekilde 8,8 trilyon dolar olduğunu tahmin ediyor. Fischer, bakımcıların bu ekosistemin merkezinde yer aldığını ve çoğunun tek başına uçtuğunu söylüyor. Geçen yıl Tidelift tarafından gerçekleştirilen bir anket, açık kaynak proje sahiplerinin %44’ünün kendilerini projelerinin tek koruyucusu olarak tanımladığını ortaya çıkardı. Yüzde altmışı kendilerini ücretsiz hobi olarak tanımladı ve aynı yüzde, proje yürütücüsü olarak rollerini ya bıraktıklarını ya da bırakmayı düşündüklerini söyledi. Fischer, birçok bakımcının çabalarını stresli, yalnız ve mali açıdan ödülsüz bir iş olarak tanımladığını söylüyor.

“XZ utils hack’i, açık kaynaklı yazılım tedarik zincirinin sağlığına ve dayanıklılığına yeterince yatırım yapılmaması risklerini tamamen ortadan kaldırıyor [that] Fischer, kurumsal kuruluşların güvendiğini söylüyor. “Kurumsal kuruluşların, en çok güvenilen açık kaynak paketlerinin çoğunun, kendilerini ücretsiz hobiciler olarak tanımlayan gönüllüler tarafından sürdürüldüğünü fark etmeleri gerekiyor. Bu bakımcılar kurumsal tedarikçiler değil ancak onlar gibi çalışmaları ve teslimat yapmaları bekleniyor.”

Tehlike: Geçişli Bağımlılıklar

A Endor’un yürüttüğü çalışma 2022’de açık kaynak güvenlik açıklarının %95’inin sözde geçişli bağımlılıklarda veya birincil açık kaynak paketinin bağlı olabileceği ikincil açık kaynak paketlerinde veya kitaplıklarında mevcut olduğunu buldu. Genellikle bunlar, geliştiricilerin doğrudan kendilerinin seçmediği ancak geliştirme projelerinde açık kaynaklı bir paket tarafından otomatik olarak kullanılan paketlerdir.

Scott, “Örneğin, bir Maven paketine güvendiğinizde, bunun sonucunda ortalama olarak ek olarak 14 bağımlılık daha ortaya çıkar” diyor. “Bu sayı, güvendiğiniz her biri için ortalama 77 başka yazılım bileşenini içe aktardığınız NPM gibi belirli yazılım ekosistemlerinde daha da fazladır.”

Açık kaynak risklerini azaltmaya başlamanın bir yolunun bu bağımlılıklara dikkat etmek ve hangi projeleri seçeceğiniz konusunda seçici olmak olduğunu söylüyor.

Kuruluşların, özellikle bir ve iki kişilik ekipler tarafından yönetilen daha küçük, tek seferlik paketler olmak üzere bağımlılıkları incelemesi gerektiğini ekliyor Dimitri Stiliadis, Endor’un CTO’su ve kurucu ortağı. Ortamlarındaki bağımlılıkların uygun güvenlik kontrollerine sahip olup olmadığını veya tüm kodun tek bir kişi tarafından mı işlendiğini belirlemelidirler; depolarında kimsenin bilmediği ikili dosyaların olup olmadığı; Stiliadis, birisinin projeyi aktif olarak sürdürdüğünü söylüyor.

Scott, “Çabalarınızı yanıt etkinliğinizi artırmaya odaklayın; olgun bir yazılım envanteri tutmak gibi temel kontroller, yazılım risklerini hızlı bir şekilde tanımlamak, kapsamlandırmak ve tanımlandıktan sonra bunlara yanıt vermek için sahip olabileceğiniz en yüksek değere sahip programlardan biri olmaya devam ediyor.” tavsiyelerde bulunur.

Yazılım bileşimi analiz araçları, güvenlik açığı tarayıcıları, EDR/XDR sistemleri ve SBOM’ların tümü, kuruluşların savunmasız ve güvenliği ihlal edilmiş açık kaynak bileşenlerini hızlı bir şekilde tanımlamasına da yardımcı olabilir.

Tehdidi Kabul Etmek

Tidelift’ten Fischer, “Maruziyetin azaltılması, üst düzey yöneticilerde ve hatta yönetim kurulu düzeyinde, ortalama bir yazılım ürününün bileşenlerinin kabaca %70’inin tarihsel olarak çoğunlukla karşılıksız katkıda bulunanlar tarafından oluşturulan açık kaynaklı yazılım olduğunun ortak anlayışı ve kabulüyle başlar” diyor.

Finansal hizmetler sektörü, FDA ve NIST’teki yeni düzenlemeler ve yönergeler, önümüzdeki yıllarda yazılımın nasıl geliştirileceğini ve kuruluşların bunlara şimdiden hazırlanmaları gerektiğini şekillendirecek. “Burada kazananlar, reaktif bir stratejiden proaktif bir stratejiye ve açık kaynakla ilgili riskin yönetilmesine hızla uyum sağlayacaklar” diyor.

Fischer, kuruluşların güvenlik ve mühendislik ekiplerine yeni açık kaynak bileşenlerinin ortamlarına nasıl geldiğini belirlemelerini tavsiye ediyor. Ayrıca bu bileşenlerin izlenmesine yönelik roller tanımlamalı ve şirketin risk iştahına uymayanları proaktif olarak kaldırmalıdırlar. “Geç aşamadaki sorunlara tepki vermek, son birkaç yılda iş riskinin boyutuyla başa çıkmanın etkisiz bir yolu haline geldi ve ABD Hükümeti sinyal veriyor O dönem sona eriyor” diyor.





Source link