Ardından Rusya’nın büyük 2017 NotPetya kötü amaçlı yazılım saldırısı ve Kremlin’in 2020 SolarWinds siber casusluk kampanyası gibi endişe verici olayların – her ikisi de yazılım dağıtımı için kuyuları zehirleyerek çekildi – dünyanın dört bir yanındaki kuruluşlar yazılım tedarik zinciri güvenliğini ele almak için çabalıyorlar. Genel olarak ve özellikle açık kaynaklı yazılımlar için, daha güçlü savunma, bütünü oluşturan tüm küçük parçaları sıralamaya ve olması gerektiği gibi olduklarını doğrulamaya çok önemli bir odaklanma ile gerçekte hangi yazılımı çalıştırdığınızı bilmeye dayanır. Bu şekilde, bir kutu yazılım yadigarı paketleyip bir rafta sakladığınızda, kutuda yıllarca canlı bir mikrofon veya acılı yumurta dolu bir Tupperware olmadığını bilirsiniz.
Her bodrumdaki ve garajdaki her kutunun içinde ne olduğunu gösteren bir sistem oluşturmak çok büyük bir çabadır, ancak güvenlik firması Chainguard’ın yeni bir aracı, bugün neredeyse tüm dijital hizmetlerin temelini oluşturan yazılım “konteynerleri” için tam da bunu yapmayı hedefliyor.
Perşembe günü Chainguard, dijital sistemlerin günümüzde bulutta nasıl oluşturulduğuna göre özel olarak tasarlanmış Wolfi adlı bir Linux dağıtımı başlattı. Çoğu tüketici, kişisel bilgisayarlarında ünlü açık kaynaklı işletim sistemi olan Linux’u kullanmaz. (Bunu yaparlarsa, Linux’un değiştirilmiş bir sürümü üzerine kurulu Android’de olduğu gibi, bunu bilmeleri gerekmez.) Ancak açık kaynaklı işletim sistemi dünya çapında sunucularda ve bulut altyapısında yaygın olarak kullanılmaktadır. kısmen bu kadar esnek yollarla konuşlandırılabildiği için. Tek seçeneğinin piyasaya sürdükleri dondurma çeşidi olduğu Microsoft ve Apple işletim sistemlerinden farklı olarak, Linux’un açık doğası, geliştiricilerin farklı isteklere ve özel ihtiyaçlara uyacak şekilde “dağıtım” olarak bilinen her türlü lezzeti yaratmasına izin verir. Ancak, diğer Linux dağıtımları da dahil olmak üzere, yıllardır açık kaynaklı yazılımlarda çalışan Chainguard’daki geliştiriciler, önemli bir lezzetin eksik olduğunu hissettiler.
Chainguard baş mühendisi Ariadne Conill, “Yaptığımız şey, tedarik zinciri güvenliğini ciddi şekilde ele almak isteyen işletmeler için iyi çalışacağını düşündüğümüz bir dağıtım oluşturmaktı” diyor. “Farklı dağıtımların içerdikleri farklı yazılım parçaları vardır – bunlar küratörlüğünde yazılım koleksiyonlarıdır. Her şeyi en baştan alan bir Linux dağıtımıyla başlamak, yazılım geliştiricilerin kendi işlerini doğru yapmaları için büyük bir avantaj.”
Yazılım kaplarını bir nakliye konteynırından yapılmış bir ev gibi düşünün. Yaşamak için ihtiyacınız olan her şey orada, ancak konteyner evi alıp gitmesi gereken yere taşıyabilirsiniz. Bir işletim sistemi, konteyner evindeki cihazlar, elektrik tesisatı, sıhhi tesisat ve diğer altyapı gibiyse, Wolfi’nin konteyner evinizdeki her şeyin güvenliğini sağlamak için ön inceleme ve ön maddeleme yaptığı şey budur. Wolfi, geliştiricilerin yazılımı kendi kapsayıcılarında güvenli bir şekilde oluşturmasına ve eklemesine yardımcı olan Chainguard’ın diğer araçlarıyla sorunsuz çalışacak şekilde tasarlanmıştır. Başka bir deyişle, mobilya ve kişisel eşyaları doğrulamak ve bunları konteyner ev indeksinize eklemek çok kolaydır. Bu şekilde, evinize hırsız girerse, ne olduğunu ve nasıl olduğunu belirlemek daha kolay olur. Ve eğer evinizi denizaşırı ülkelere göndermek isterseniz, gümrükleri gösteren ayrıntılı bir manifestoya sahipsiniz.
Chainguard’da yazılım mühendisi olan Adolfo Garcia, “Yazılımla fiziksel ürünlerle tamamen aynı şey – insanların saklamaya ve gizlice geçmeye çalıştığı kaçak veya sahte mallar olabilir” diyor. “Yazılım için, derleme zamanında bilgi toplama yeteneğiniz yoksa, orada ne olduğu konusunda çok şey kaçıracaksınız.”