Google’dan Yeni Açık Kaynaklı Yazılım Programı: OpenSSF Security Scorecards

Synopsys Siber Güvenlik Araştırma Merkezi 2021 raporuna göre, ticari programların %95’i açık kaynak program içeriyor, ancak kodların büyük kısmı güncel olmadığı gibi güvenlik zafiyeti riski sunuyor. Google ile Open Source Security Foundation (OSSF) iş birliği ile hazırlanan OpenSSF Security Scorecards, açık kaynaklı yazılım projeleri otomatik bir doğru/yanlış taramasından geçirerek kontrol ediyor.

Şirketlerin çok azı günümüzde açık kaynaklı bağımlılıkları güvenlik taramasından geçirecek sistem ve süreçlere sahip. Scorecards projesi, güvenlik kontrollerini kolaylaştırmayı ve Scorecards v2 ile güvenlik seviyesinin de artırılmasını hedefliyor. Projenin kendisi güvenlik taramaları, puanlanan proje sayısının artırılmasını ve analizler için tarama verilerine erişimi içeriyor.

Geliştiriciler için Scorecards, bir projenin tedarik zinciri sabit kalırken düzenli olarak yapılması gereken manuel taramaların kolaylaştırılmasını sağlayacak. Tüketiciler programı kabul etme aşamasında risk değerlendirmesi yapabilecek, alternatif bir çözüm arayabilecek ve sistem uzmanları ile gelişimler için beraber çalışabilecek.

Scorecards belli basamaklar içeriyor. Bunlardan ilki “risklerin tanımlanması“, ikincisi ise Branch-Protection kontrolü ile kötü amaçlı içerik veya müdahale edilmiş hesapları tespit etmek. Scorecards bu şekilde açık kaynaklı projelere kötü amaçlı içerik sızdırabilecek hesapları tespit ediyor.

Hassas kod basamağı, Scorecards’ın kod tabanına fark edilmeden sızmayı başaran kötü amaçlı kodları tespit etmesini mümkün kılıyor. Statik kod testi aracılığıyla gelişim sürecinin ilk basamaklarında kötü kodların tespiti hedefleniyor.

Sistem uyumluluğu oluşturma aşamasında ortak kullanılan bir CI/CD çözümü GitHub projeleri için kullanılan GitHub Actions. CI/CD, uygulamaların yaşam döngülerinde integrasyondan test aşamalarına ve iletimden konuşlandırmaya kadar otomasyon ve sürekli tarama sağlıyor. Siber suçlular buna rağmen kötü amaçlı kodlarla projelere sızmayı başarabilirken, Scorecards’ın Token-Permissions önleme sistemi GitHub iş akışlarını kontrol ederek güvenliği artırıyor.

Kötü bağımlılıklar basamağı, bir programın sadece en zayıf bağımlılığı kadar güvenli olması mantığına dayanıyor. Bağımlılıkların bilinmesinin ilk adını ise beyan edilmelerinden geçiyor. Bu temel bilgi ile geliştiriciler programlarındaki riskleri değerlendirebiliyor ve riskleri önleyebiliyor.

Öte yandan, programlar için “menşe bilgi” prensibini kırabilecek tersine-güzergahlar oluşturulması da yaygın bir yöntem. Buna izin vermemek için Scorecards Binary-Artifacts içeriği ile projelerdeki dizinleri kontrol ederek riski azaltmayı amaçlıyor. Scorecards aynı zamanda Frozen-Deps taraması ile CoeCov gibi kötü amaçlı bağımlılık saldırılarına karşı önlem de sunuyor.

Scorecards şu ana kadar 50.000’den fazla açık kaynaklı projenin güvenliğini puanlamak için kullanılırken analiz edilen tüm projelere ait verilere, Google Open Source Insights projesi ve OpenSSF Security Metrics projesi ile erişim sağlamak mümkün.