Open Source Security Foundation’dan bir grup uzmana göre, yazılım tedarik zincirindeki büyük güvenlik sorunlarını çözmenin anahtarı, büyük açık kaynak tüketicilerinde yatıyor.
Açık Kaynak Tüketim ManifestosuOSSF Son Kullanıcılar Çalışma Grubu adına Perşembe günü yayınlanan bir belge, ticari ve ticari olmayan kalkınma kuruluşlarına şunları yapma çağrısında bulunuyor:
- Güvenli bir yazılım tedarik zinciri oluşturmada açık kaynaklı yazılım tüketiminin kritik rolünü düşünün.
- Açık kaynak yazılım tüketimini, risk toleransı, düzenleyici bağlam vb. faktörlere bağlı olan tanımlanmış bir risk profiline göre dengeleyin.
- Güvenlik açıkları, kötü amaçlı yazılımlar ve bileşen seçimi dahil potansiyel riskleri tanıyın.
- Tüm güvenlik açıklarının aktif olarak iyileştirilmediğini ve risk puanlama sistemlerinin (CVSS gibi) takip eden göstergeler olabileceğini anlayın.
- Bilinen güvenlik açıkları ve kötü amaçlı paketlerle eşleşen bileşenler için denetimlerden ve karantina işlevlerinden yararlanın.
Manifesto, açık kaynak bileşenlerini kendi yazılımlarında bağımlılık olarak kullanan kuruluşlara yöneliktir. Brian Fox, Sonatype’in kurucu ortağı ve CTO’su ve manifestonun yazarlarından biri.
Fox, e-posta yoluyla şunları söyledi: “Tipik uygulama %80-90 oranında açık kaynaktır ve neredeyse yirmi yıldır bu böyledir.” “Bu kuruluşların, satın aldıkları üçüncü taraf yazılımlarda olduğu gibi açık kaynak bağımlılıklarını bilinçli olarak yönetmelerine ihtiyacımız var.”
Grup, açık kaynak bakımcılarının tedarik zinciri güvenliği yükünün büyük kısmını taşımaması gerektiğini söylüyor.
Solarwinds’e yönelik Sunburst kötü amaçlı yazılım tedarik zinciri saldırısı ve Log4j güvenlik açığı gibi olaylar bir güven krizine yol açtı, ancak grup, büyük açık kaynak tüketicilerinin yeni uygulamalarının bu dinamiği değiştirebileceği konusunda ısrar ediyor.
Manifesto, seçimden sadece birkaç hafta sonra geliyor. Beyaz Saray bilgi talebinde bulundu açık kaynak güvenliği ve bellek açısından güvenli dillerin kullanımı hakkında. Biden yönetiminin ulusal siber güvenlik stratejisinin merkezi bir bileşeni, Log4j krizinin ardından tedarik zincirlerini güvence altına almanın daha iyi yollarını geliştirmek oldu.