Açık Kaynaklara Aşırı Güven Güvenlik Risklerine Neden Oluyor 

Açık kaynak liderleri arasında yer alan ve kâr amacı gütmeyen ABD/California merkezli konsorsiyum The Linux Foundation, ortakları arasında yer alan siber güvenlik şirketi Synk ile birlikte yayımladığı raporda açık kaynağa gözü kapalı güvenmenin ciddi sorunlara yol açabileceğine dikkat çekti.

Rapora göre organizasyonların yüzde 41’i açık kaynaklı yazılımlara güvenmediklerini belirtirken, yüzde 49’u açık kaynak güvenlik politikası bile bulundurmuyor.

Öte yandan, kişiye özel programlara kıyasla açık kaynaklı yazılımların kaynak kodları incelenebildiği için daha güvenli olmaları gerekiyor. Ancak kısa zamanda gerçekleşen Log4J, colors.js ve faker.js saldırıları gösterdi ki, birileri kaynak kodlarına bakmadığı sürece açık kaynaklı yazılımlar hiç de güvenli değil.

“Linus’un Yasası”, yeteri sayıda göz üzerinde olduğu zaman güvenlik açıklarının her zaman sığ sularda kalacağını söylüyor. Öte yandan Log4j siber saldırısına bakıldığı zaman, güvenlik yamasının yapılmasından aylar sonra bile on binlerce hassas programın gözler önünde olduğu görülüyor. Açık sebebi, kullanıcıların yeterince dikkat göstermemesi ve bunun da faciaya neden olması…

Açık kaynak güvenliği giderek daha fazla önem kazanıyor

Açık kaynak, giderek daha önemli hale geldikçe, şüphesiz güvenliği de giderek daha fazla önem kazanıyor… Yakın zamanda yayınlanan başka bir rapor, uygulamaların yüzde 92’sinin açık kaynak bileşenleri taşıdığını gösterdi. Dahası, bugün programların ortalama yüzde 70’i açık kaynak yazılımı içeriyor.

Synopsys Siber Güvenlik Araştırma Merkezi 2021 raporuna göre, ticari programların %95’i açık kaynak program içeriyor, ancak kodların büyük kısmı güncel olmadığı gibi güvenlik zafiyeti riski sunuyor.

2022’in ilk çeyreğinde gerçekleştirilen ve 550’den fazla organizasyonun katıldığı bir diğer araştırmada 1,3 milyardan fazla açık kaynaklı proje incelendi. Bu çarpıcı kapsama sahip araştırmada ortalama bir yazılım projesinin 49 güvenlik zafiyeti ve 80 direkt bağımlılığı olduğu anlaşıldı. Kısacası güvenlik riski bir hayli yüksek…

Dahası, açık kaynaklı projelerde güvenlik hassasiyetlerini gidermek için gereken süre 2018’den 2021’e kadar geçen 2 yıllık sürede iki katın üzerinde artışla 49’dan 110 güne yükseldi. Burada da bitmiyor; organizasyonların güvenlik zafiyetlerini gidermek için kendilerine özgü parçalar kullanması ve kaynak kodlarını bozuk bir aracın parçalarını değiştirir gibi onarmaları gerekiyor. Bu durum yenilik ve üretkenliği tetiklese de siber güvenlik risklerini artırıyor.

Her ne kadar yenilik ve üretkenlik artıyor olsa da, uzmanlar uygulamaların modern günümüzde birleştirilme şekillerinin güvenlik risklerini tetiklediğini söylüyor. Bu noktada geliştiricilerin ve yöneticilerin açık kaynaklı yazılımların güvenli olduğuna dair saf düşüncelerini terk etmeleri gerekiyor. Bu argüman çok sayıda araştırma ve analizle kanıtlanmış durumda.

Örneğin, şirketler artan sayıda açık kaynak yazılım gelişimi ve kullanımı konusunda güvenlik politikaları hazırlamak durumunda. Şirketlerin günümüzde yaklaşık yüzde 30’u açık kaynak güvenlik politikasına sahip değil. Bu detay, açık kaynaktan Lego inşa eder gibi program yapmaya çalışırken bir facia ile karşılaşılması riskini yükseltiyor.

Açık kaynak kodlu yazılım (OSS, İngilizcesi Open-source software), kaynak kodun telif hakkı sahibinin, yazılımı herhangi birine ve herhangi bir amaçla kullanma, inceleme, değiştirme ve dağıtma haklarını verdiği bir lisans kapsamında yayınlandığı bir bilgisayar yazılımı türüdür. Açık kaynak kodlu yazılım, ortak çalışmaya dayalı bir tarzda geliştirilebilir. Açık kaynaklı yazılım, açık iş birliğinin önemli bir örneğidir. Açık kaynak kodlu yazılım geliştirme, tek bir şirketin geliştirdiği yazılımın ötesinde farklı bakış açıları getirebilir.

Geride kalan yıllarda Alpha-Omega Project, Google Open Source Maintenance Crew, SPDX ve OpenChain gibi açık kaynaklı yazılımların güvenliklerini artırmak için girişimler devreye girmiş olsa da, çok daha fazlasının yapılması gerekiyor.

Bu noktada ana sorumluluk, açık kaynak kullanıcılarının kullandıkları kodun güvenli olduğunu temin etmesinden geçiyor.