Popüler Açık Kaynaklı Yazılım Projelerine Yönelik Zafiyetler 2019’da 2 Kat Arttı

Popüler 54 farklı açık kaynaklı yazılıma yönelik bir analiz, söz konusu projelerdeki güvenlik zafiyetlerinin 2019’da iki katına çıktığını gösterdi. Projelerde 2018’de tespit edilen güvenlik açığı sayısı 421 iken 2019’da bu miktar 968’e yükseldi. “The Dark Reality of Open Source” adlı raporda yer alan bilgilere göre, analiz edilen açık kaynaklı yazılım projelerinde 2015 ile Mart 2019 arasında toplam 2 bin 694 güvenlik açığı bulundu. Raporda Linux, WordPress, Drupal veya diğer çok kullanılan bedava araçlara ait verilere yer verilmedi. Sebep olarak bu araçlardaki güvenlik açıklarının siber güvenlik basınında çok hızlı yer edinmesi ve yamaların da bir o kadar hızlı sunulması gösterildi.

Raporda teknoloji ve yazılım topluluğu tarafından çok fazla kullanılmayan açık kaynaklı projeler değerlendirildi. Söz konusu projelerden bazıları Jenkins, MongoDB, Elasticresearch, Chef, GitLab, Spark ve Puppet.

Güvenlik uzmanları, karşılarına çıkan en endişe verici durumun, raporun yayınlanmasının ardından haftalar geçmesine rağmen tespit edilen güvenlik açıklarının Ulusal Zafiyet Veri Tabanına (NVD) bildirilmemesi olduğunu belirtti. 54 projedeki güvenlik açıklarının NVD’ye iletilmesi ortalama 54 gün sürerken, PostgreSQL projesindeki açıkların kamuya sunulmasının ardından yetkililere iletilmesi sekiz ayı buldu.

Siber güvenlik ve bilişim teknolojileri (BT) şirketlerinin güvenlik çağrıları oluşturmak ve göndermek için NVD veri tabanı kullanıyor olması, şirketlerin tespit edilen açıklar nedeniyle güvenlik tehdidi altına girebileceğine işaret ediyor. Ek olarak zafiyetler geç bildirildikçe siber suçluların güvenlik açıkları bulup bu açıklardan faydalanmaları için zaman doğuyor. Uzmanlar bu süreci “güvenlik açığının silahlandırılması” olarak tanımlıyor.

Jenkins ve MySQL sunucuları dikkat çekti

Analizler, 2015’en bu yana en fazla “silahlanmış” güvenlik açığına sahip projelerin Jenkins ve MySQL sunucularında yer aldığını ortaya çıkardı. Her iki projenin sunucularında toplamda 15 güvenlik açığı bulundu.

Ticari yazılım projelerinin yüzde 99’unda açık kaynak projelerin kullanıldığı ele alındığında, uzmanlar güvenlik zafiyetlerine karşı önlemlerin tüm ekosistemi kapsayacak şekilde değerlendirilmesi gerektiğini not düştü. Sektör genelinde alınacak önlemlerin her zamankinden daha büyük önem taşıdığı çünkü “açık kaynak projelerin hiç olmadığı kadar hızlı yeni güvenlik zafiyetlerine neden olduğu” ifade edildi.