Lineaje AI Labs tarafından hazırlanan yakın tarihli bir rapor, ABD’nin açık kaynak projelerine en çok katkıda bulunan ülke olduğunu, ancak aynı zamanda anonim katkılara da öncülük ettiğini ve küresel yazılım tedarik zincirinde şeffaflık ve güvenlik konusunda önemli endişeleri artırdığını ortaya koydu.
Açık Kaynak Katkılarında Jeopolitik Riskler
“Sınırları Aşmak: Güveni Kırmak” başlıklı rapor, açık kaynak katkılarının coğrafi dağılımıyla ilişkili jeopolitik risklere dikkat çekiyor. Ulus devlet siber saldırılarının artmasıyla birlikte kodun kökeni, ulusal ve ekonomik güvenlik açısından kritik bir konu haline geldi. Microsoft, müşterilerinin günde 600 milyon siber saldırıyla karşı karşıya kaldığını ve bunların %24’ünün BT sektörünü ulus devlet saldırganlarından hedef aldığını tahmin ediyor.
Temel Bulgular:
- ABD Açık Kaynak Katkılarına Hakim Oluyor: ABD, küresel açık kaynak katkılarının üçte birinden fazlasını (%34) oluştururken, onu %13 ile Rusya takip ediyor. Diğer önemli katkıda bulunanlar arasında Kanada, İngiltere ve Çin bulunmaktadır.
- Yüksek Anonim Katkı Oranı: ABD’de açık kaynak katkılarının %20’si anonimdir; bu oran Rusya’nın katkılarının iki katından, Çinli katkıların ise üç katıdır. Küresel olarak, açık kaynak bileşenlerinin %5-8’i bilinmeyen veya şüpheli kökene sahip olup, potansiyel olarak gizli arka kapılar, kötü amaçlı yazılımlar veya kritik güvenlik açıkları ortaya çıkarmaktadır.
- Kritik Yazılım Coğrafi Kaynak Kaygılarıyla Karşı Karşıya: Savunma, su, elektrik, bankacılık ve perakende gibi sektörler, birden fazla ülkeden gelen katkılar nedeniyle yazılım bakımında zorluklarla karşı karşıya kalıyor ve bu da rakip ulusların tamamen dışlanmasını zorlaştırıyor.
Açık Kaynakta Küresel Bakım Eksiklikleri
Raporda ayrıca açık kaynaklı yazılımların bakımında kritik güvenlik açıklarına katkıda bulunan çeşitli rahatsız edici eğilimler de tespit ediliyor:
- Güvenlik Zayıflıkları: Açık kaynak, kod geliştiricilerinin yazdığı koddan 2 ila 9 kat daha fazla katkıda bulunur; güvenlik zayıflıklarının %95’inden fazlası açık kaynak bağımlılıklarından kaynaklanır. Bu güvenlik açıklarının yarısından fazlasının (%51) bilinen bir çözümü yoktur ve açık kaynak bileşenlerin %70’inin bakımı yetersizdir.
- Sürdürülmeyen Açık Kaynak Daha Az Savunmasız: Şaşırtıcı bir şekilde, sürdürülmeyen açık kaynak, yüksek değişim hızı nedeniyle 1,8 kat daha savunmasız olan, iyi korunan açık kaynağa göre daha az savunmasızdır.
- Derin Katman Güvenlik Açıkları: Açık kaynaklı projelerde 60’a kadar bileşen katmanı yer alabilir ve bu da zayıf risk değerlendirmesi ve iyileştirme yaklaşımlarına yol açar. Hangi güvenlik açıklarının düzeltileceğini bilmek, çabanın en az %50’sini ortadan kaldırabilir ve güvenlik duruşunu %20-70 oranında iyileştirebilir.
- Sürüm Yayılması Komplikasyonları: Açık kaynak bileşenlerinin %15’inden fazlasının tek bir uygulamada birden fazla sürümü var ve bu da iyileştirme çabalarını zorlaştırıyor.
- Kodlama Dili Çeşitliliğinden Kaynaklanan Güvenlik Riskleri: Orta boyutlu bir uygulama, 139 dilde 1,4 milyon satırlık kod içerebilir ve bu kod genellikle hafıza açısından güvenli olmayan riskli dillerde sürüklenir.
- Ekip Boyutu Güvenliği Etkiler: Çok küçük (<10) or large (>50) takımlar orta büyüklükteki takımlara göre daha riskli paketler teslim etmektedir.
Açık kaynaklı yazılım, küresel yazılım tedarik zincirinde tamamlayıcı bir rol oynamaya devam ederken, anonim katkılar ve bakım boşluklarıyla ilişkili riskleri anlamak ve azaltmak, jeopolitik gerilimlerin olduğu bu dönemde her zamankinden daha önemli olacak.
Reklam