ABD’de Siber Güvenlik Gündeminin Ana Maddesi: Açık Kaynak Yazılımının Güvenliğini Sağlama Yasası

ABD Senatosu açık kaynaklı yazılımın önemi konusunda fikir birliğine varmış gibi görünüyor. Zira hem Cumhuriyetçiler hem de Demokratlar tarafından destek gören Securing Open Source Software Act (Açık Kaynak Yazılımının Güvenliğini Sağlama Yasası), ABD hükümetinin, vatandaşlarının en hassas verilerini korumak için açık kaynaklı yazılımlardaki güvenlik açıklarını tahmin etmesini ve azaltmasını sağlayacak. En azından beklentiler bu yönde.

Açık kaynak nedir, bu sorunun yanıtıyla başlayalım. Açık kaynak kodlu yazılım (OSS, İngilizcesi Open-source software), kaynak kodun telif hakkı sahibinin, yazılımı herhangi birine ve herhangi bir amaçla kullanma, inceleme, değiştirme ve dağıtma haklarını verdiği bir lisans kapsamında yayınlandığı bir bilgisayar yazılımı türüdür. Açık kaynak kodlu yazılım, ortak çalışmaya dayalı bir tarzda geliştirilebilir. Açık kaynaklı yazılım, açık iş birliğinin önemli bir örneğidir. Açık kaynak kodlu yazılım geliştirme, tek bir şirketin geliştirdiği yazılımın ötesinde her zaman farklı bakış açıları sunabilir.

Ve söz konusu yasa tasarısı, 2021’deki Log4j güvenlik zafiyetinin ortaya çıkması ve devam eden artçı şoklarından bu yana açık kaynak kodu saldırılarına karşı ne kadar savunmasız olduğumuzu öne sürüyor. Bu arada ABD hükümeti açık kaynaklı yazılımların herkes için ne kadar hayati olduğu konusuna ilk kez değinmiyor. Bu yılın başlarında ABD Federal Ticaret Komisyonu, Log4j güvenlik sorunlarını çözmeyen şirketleri cezalandıracağı konusunda uyarmıştı.

Organizasyonların yüzde 41’i açık kaynaklı yazılımlara güvenmiyor

İlginç veriler var, Synopsys Siber Güvenlik Araştırma Merkezi 2021 raporuna göre, ticari programların yüzde 95’i açık kaynak program içeriyor, ancak kodların büyük kısmı güncel olmadığı gibi güvenlik zafiyeti riski barındırıyor.

2022’in ilk çeyreğinde gerçekleştirilen ve 550’den fazla organizasyonun katıldığı bir diğer araştırmada 1,3 milyardan fazla açık kaynaklı proje incelendi. Bu çarpıcı kapsama sahip araştırmada ortalama bir yazılım projesinin 49 güvenlik zafiyeti ve 80 direkt bağımlılığı olduğu anlaşıldı. Kısacası güvenlik riski bir hayli yüksek…

Başka bir rapora göre ise organizasyonların yüzde 41’i açık kaynaklı yazılımlara güvenmediklerini belirtirken, yüzde 49’u açık kaynak güvenlik politikası bile bulundurmuyor.

ABD hükümeti, uzun süredir açık kaynaklı yazılımları destekliyor. Ancak Açık Kaynak Yazılımının Güvenliğini Sağlama Yasası, açık kaynağı politika ve düzenleme kararları alanından federal yasaya taşıyor.

Yeni yasa tasarısı, CISA’yı (Sertifikalı Bilgi Sistemleri Denetçisi) açık kaynak kodunun federal hükümet tarafından nasıl kullanıldığını değerlendirmek için bir risk çerçevesi geliştirmeye yönlendirecek. CISA, aynı çerçevenin kritik altyapı sahipleri ve operatörler tarafından nasıl kullanılabileceğine de karar verecek.

CISA’nın yükümlülükleri

Açık Kaynak Güvenliği Vakfı’nın (OpenSSF) analizine göre CISA; devlet, endüstri, açık kaynak topluluk çerçevelerini ve yazılım güvenliği alanındaki en iyi uygulamaları birleştirerek açık kaynak kodu riskini ele almak için bir ilk değerlendirme çerçevesi üretecek. Kısacası CISA, mevcut açık kaynaklı güvenlik tekniklerinin en iyisini kullanmak yerine tekerleği yeniden icat etmeye çalışmayacak.

Yasa ayrıca CISA’nın açık kaynaklı yazılım risklerini azaltmanın yollarını belirlemesini gerektirecek. Bunun gerçekleşmesi için, CISA’nın güvenlik sorunlarını çözmek adına açık kaynaklı yazılım geliştiricilerini işe alması gerekiyor. Son olarak, Yönetim ve Bütçe Ofisi’nin (OMB) bir CISA yazılım güvenliği alt komitesini finanse etmesini ve kullanıcıların açık kaynaklı yazılımları nasıl güvence altına alabileceği konusunda federal rehberlik yayınlamasını gerektirecek.

OpenSSF, açık kaynak güvenliğini temelden geliştirmek için hükümetle birlikte çalışmaya istekli olan tek grup değil, aynı zamanda birtakım endişeler de mevcut. Açık Kaynak Girişimi (OSI) ABD Politika Direktörü Deb Bryant, Kongre’nin açık kaynağı tüm yazılımlar için çözmek yerine özel bir yazılım sınıfı olarak ele almayı hedefleyen bir çerçeve oluşturmasından endişe ediyor.