Uzmanlar, açık kaynak bileşenlerinin güvenliğini ölçmekle ilgilenen geliştiricilerin çok sayıda seçeneğe sahip olduğunu, ancak yine de bu bilgileri uygulamalarında kullanılan bileşenleri denetlemek için kullanmayı seçmeleri gerektiğini söylüyor.
11 Nisan’da Google, Go, Java, Python, JavaScript ve Rust için ana açık kaynak depoları da dahil olmak üzere beş yazılım ekosisteminde 5 milyondan fazla bileşeni kapsayan güvenlik meta verilerini içeren deps.dev API hizmetini duyurdu. Verilere hem şirketin deps.dev web sitesinden hem de yeni bir API aracılığıyla sorgulanabilen bir veri kümesinden erişilebilir.
Geliştiriciler bilgileri paketleri seçmeye yardımcı olmak için kullanabilir, tümleşik geliştirme ortamları (IDE’ler) bir geliştirici çalışırken güvenlik ölçümleri sunabilir ve uygulama güvenliği aracı oluşturucuları, bilgileri şu anda güvenlik ve güvenlik hakkında kararlar vermek için kullandıkları kaynaklar listesine ekleyebilirler. Google’ın Açık Kaynak Güvenlik Ekibi ürün yöneticisi Nicky Ringland, açık kaynak yazılım bileşenlerinin sürdürülebilirliğini söylüyor.
“Ayrıca, olaydan sonra raporlamaya bakmak … ve belki de ele almaları gereken bazı bağımlılık zorluklarını keşfetmek anlamına da gelebilir” diyor. “Nihayetinde, birden çok dil ekosisteminde potansiyel olarak çok büyük bir bağımlılık kümesini güvenlik veya lisanslama sorunları için otomatik ve ölçekli olarak kontrol edebilmek … tüm ekosisteme fayda sağlayacağını umduğumuz güçlü bir araçtır.”
Google deps.dev hizmetinin sürümü, yazılım geliştiricilerin, uygulama güvenlik firmalarının ve ABD hükümetinin açık kaynak yazılım ekosisteminin güvenliğini artırmanın yollarını bulmaya çalışmasıyla birlikte gelir. ABD İç Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu’na (CSRB) göre “endemik bir güvenlik açığı” olması beklenen Java için Log4J günlük kaydı paketindeki güvenlik açıklarından yararlanılması, yalnızca açık kaynaktaki güvenlik açıklarını en aza indirmenin öneminin altını çiziyor. paketler, aynı zamanda savunmasız paketlerin kullanımını da ortadan kaldırır.
Kurucu ortak ve baş teknoloji yetkilisi Brian Fox, açık kaynak projelerine güvenliği artırmak ve kendi bağımlılıklarını iletmek için daha fazla araç sağlamak üzere çeşitli çabaların halihazırda devam ettiğini, ancak geliştiricilerin güvenliği bir öncelik haline getirdiğini ve hangi bileşenlerin indirileceğini bilmek için bilgileri kullandığını söylüyor. yazılım güvenlik firması Sonatype. Firma, bir geliştirici güvenlik açığı olan bir yazılım bileşenini “tükettiğinde”, zamanın %96’sında bir düzeltmenin yapıldığını keşfetti. zaten mevcut.
“Başka bir deyişle, sorun aslında açık kaynak projelerimizin iyi bir iş çıkarmasıyla ilgili değil; Log4J ekibi, Şükran Günü hafta sonu için bir yamayı – günler içinde – muhtemelen çoğu şirketin aynı şeyi bir süre boyunca yapabileceğinden daha hızlı bir şekilde çevirdi. ticari proje” diyor. “Daha iyi bir iş çıkarmalıyız. Açık kaynak tüketen kuruluşlar bu kararları vermekte berbat bir iş çıkarıyorlar.”
Bir Bağımlılık Verisi Şöleni
Google’ın deps.dev hizmeti, geliştiricilerin açık kaynak bileşenleri hakkında bilgi araması için başka bir kaynak ekler, ancak tek kaynak değildir. Sonatype, OSS Endeksini 2018’de yenileyerek, hizmeti modernize ederek beş ekosisteme ek olarak Ruby için RubyGems paket sistemi ve Linux için RPM Paket Yöneticisi gibi 14 farklı ekosistemden milyonlarca yazılım projesine ilişkin güvenlik ve bakım verilerine erişim sağlayacak şekilde modernize etti. Google kapsamındadır.
OpenText’in Debricked’i gibi diğer hizmetler de projeleri etiketleyerek ve popülerlik, katılımcı etkinliği ve güvenlik ölçütleri sunarak kendi bağımlılık veri kümelerine bir bakış sunar.
Google’dan Ringland, verilerin herhangi bir geliştiricinin daha iyi kararlar vermesine olanak sağlamasının yanı sıra araç üreticilerine yazılım programcıları için rehberliklerini iyileştirmeleri için başka bir veri kaynağı sunması gerektiğini söylüyor.
“API ile ilgili amacımız, hızlı tek seferlik betiklerden editör eklentileri gibi karmaşık araçlara veya sistem entegrasyonları oluşturmaya kadar her şey için kullanılabilmesidir” diyor. “IDE’lerden CI/CD sistemlerine ve denetim panolarına kadar her şeyde bu verilere yönelik gerçek bir ilgi görüyoruz ve kritik güvenlik bilgilerini geliştiricilere, CISO’lara, açık kaynak bakım sağlayıcılarına ve daha fazlasına ulaştırmaktan heyecan duyuyoruz.”
Geliştiricilerin yazılım bağımlılık verilerini kullanarak daha iyi seçimler yapmalarına yardımcı olmaya odaklanan Endor Labs, kaynaklarından biri olarak zaten deps.dev kullanıyor, ancak daha düzenli veritabanı erişimini övdü. Endor Labs, bir uygulamanın bir açık kaynak kitaplığı kullanması ancak bu kitaplıktaki savunmasız işlevleri kullanmaması gibi yanlış pozitifleri en aza indirmek için bu tür verileri kapsamlı analizlerle eşleştirir.
Endor Labs’ın CEO’su ve kurucu ortağı Varun Badhwar, şirketin ayrıca risk verilerini sohbet yoluyla aranabilir hale getiren ChatGPT tabanlı bir hizmet olan DroidGPT aracılığıyla kendi bağımlılık bilgilerini daha erişilebilir hale getirmeyi planladığını söylüyor. Amaç, açık kaynak bağımlılıklarını seçmek ve yönetmek için gereken iş miktarını azaltmaktır, çünkü yanlış olanları seçmek, teknik borç olarak da bilinen gelecekte çok fazla iş yaratabilir.
Badhwar, “Teknik borç, genellikle, geliştiricilerden açık kaynak kodundaki güvenlik açıklarını sürekli olarak yamaları ve düzeltmeleri istendiğinde, bu kodun çoğu aslında kullanımda olmamasına rağmen yaratılır” diyor. “OSS ile teknik borcu azaltmanın yolu, daha iyi bağımlılıklar seçmek ve gerçekten önemli olan riske öncelik vermektir.”
SBOM + Bağımlılık Verileri = Daha İyi Yazılım Güvenliği
Geliştiriciler ve araç üreticileri, verileri geliştirme araçları tarafından giderek daha fazla oluşturulan yazılım malzeme listesi (SBOM’ler) ile birleştirmeye başladıkça, bağımlılık verileri gerçekten yararlı olmaya başlayacaktır.
Sonatype’den Fox, SBOM’ların, beş farklı şifreleme kitaplığı mı yoksa bir düzine kaydedici mi kullandıkları gibi, açık kaynak kitaplıklarının kullanımlarını aydınlatarak kuruluşlara ve geliştirme ekiplerine yardımcı olabileceğini söylüyor.
Fox, “Hepsi aynı şeyi yapan bir düzine, 15 farklı bileşen kullandıklarını fark ettiklerinde o şok anını yaşıyorlar” diyor. SBOM’ları ve güvenlik verilerini birleştirerek, “Portföyümün tamamına bakabilir ve bunun hakkında akıl yürütmeye başlayabilirim.”
Endor Labs’tan Badhwar, buna güvenlik verilerinin eklenmesi, şirketlerin yazılım seçimlerini nasıl düzene sokacakları konusunda daha iyi seçimler yapmalarına olanak tanıyor ve halka açık Güvenlik Puan Kartı gibi araçlar veya ticari hizmetler yardımcı olabilir, diyor.
“Çaba birden fazla ekibe yayılmaya başladığından ve çok fazla mühendislik çalışması gerektirdiğinden ve yanlış pozitif güvenlik uyarılarıyla ilgili geliştirme çabalarını azaltmaya başladıklarında, şirketler aşağıdakilerle daha iyi yatırım getirisi elde edecek: [these] araçlar” diyor.