2024 Açık Kaynak Güvenlik ve Risk Analiz Raporu (OSSRA)
2 / Nisan / 24
2024 OSSRA: Açık Kaynak Yönetimi İçin Artan Endişeler
Dokuzuncu baskısını yapan ‘’ 2024 Açık Kaynak Güvenliği ve Risk Analizi (OSSRA) raporu’’, ticari yazılımlardaki açık kaynak güvenliği, uyumluluk, lisanslama ve kod kalitesi risklerinin mevcut durumunu derinlemesine inceliyor. Bu rapor, Synopsys Black Duck Denetim Hizmetleri ekibinin 2023 yılı boyunca 17 farklı sektörde 1067 ticari kod tabanından anonimleştirilmiş bulguların analizinden elde edilen verileri, birleşme ve satın alma işlemleri sırasında yazılım risklerini belirlemek amacıyla kullanmaktadır. Raporda temsil edilen sektörler arasında otomotiv, büyük veri, siber güvenlik, kurumsal yazılım, finansal hizmetler, sağlık hizmetleri, nesnelerin interneti, üretim ve mobil uygulamalar yer almaktadır.
Açık Kaynak: Her Yerde ve Her Şeyde
2024 OSSRA raporunun bulguları açıkça gösteriyor ki, açık kaynaklı bileşenler ve kütüphaneler, neredeyse her sektörde ve uygulamada temel bir rol oynuyor. İncelenen kod tabanlarının %96’sında açık kaynak kodları bulunurken, bu kodların %72’si açık kaynaklı. Daha da etkileyici olanı, her sektördeki kod tabanlarının %99 ile %100 arasında değişen bir oranda açık kaynak içermesi.
Açık kaynak kullanmanın getirdiği pazara çıkış hızı, maliyet tasarrufu ve geliştirme sürecinin hızlanması gibi avantajlar, şirketlerin yazılım geliştirme süreçlerinde açık kaynağa yönelmelerinin ana sebepleri arasında. Ancak, herhangi bir uygulamada bulunan sayısız açık kaynak bileşeninin takibi, denetim ekipleri için önemli bir zorluk teşkil ediyor.
Bu durum, açık kaynaklı bileşenlerin getirdiği avantajların yanı sıra, yönetim ve güvenlik açısından dikkatli bir yaklaşım gerektirdiğini vurguluyor. Açık kaynağın potansiyelini tam anlamıyla kullanabilmek ve olası riskleri minimize etmek için, şirketlerin bu bileşenleri etkin bir şekilde yönetmeleri ve güncel tutmaları gerekiyor.
Uygulama Başına Ortalama 500+ Açık Kaynak Bileşeni
OSSRA raporu, bu yıl belirli bir uygulamadaki ortalama açık kaynak bileşen sayısının 526 olduğunu belirtmektedir. Bu da otomatik güvenlik testi için mutlak gereklilik olmasa da ne kadar önemli olduğunu bir kez daha vurgulamaktadır. Manuel testler az sayıda bileşen için uygulanabilir. Ancak büyük ölçekte neredeyse imkansız hale gelir. Bu yüzden yazılım kompozisyon analizi (SCA) gibi otomatik bir çözümün kullanılmasını gerekmektedir. Manuel testlerin aksine, otomatik güvenlik testleri hızlı ve tutarlı bir şekilde yürütülebilir. Geliştiricilerin teslimat programlarını veya üretkenliğini etkilemeden, sorunları geliştirme sürecinin erken aşamalarında tespit etmelerine olanak tanır.
Yapılan araştırmalara göre, kod tabanlarında keşfedilen güvenlik açıkları ve lisans uyum sorunları neredeyse açık kaynağın kendisi kadar yaygındı. Kodların büyük çoğunluğu lisans çakışmaları içeriyordu. Bir risk değerlendirmesi içeren kod tabanlarının %84’ü bilinen en az bir açık kaynak güvenlik açığı içeriyordu. Risk değerlendirmesi yapılan kod tabanlarının %74’ü yüksek riskli güvenlik açıkları içeriyordu. Bu oran, kod tabanlarının yalnızca %48’inin yüksek riskli güvenlik açıkları içerdiğinin tespit edildiği geçen yılki OSSRA raporuna göre önemli bir artıştı.
Bu artışın olası bir açıklaması, güvenlik açıklarını bulmak ve yamamak için mevcut kaynakların sayısını sınırlayan ekonomik gerileme ve ardından gelen işten çıkarmalar olabilir. Ayrıca, kod tabanlarının neredeyse tamamının mevcut en güncel sürümden geride bileşenler içerdiği tespit edilmiştir. Sonuç olarak, açık kaynak tüketicilerinin çoğunun kullandıkları bileşenleri güncellemedikleri ve bunun da daha yüksek riske yol açtığı açıkça görülmektedir.
Kod tabanlarının üçte birinin jQuery’nin güvenlik açığı bulunan bir sürümünü kullandığı tespit edildi.
OSSRA verileri, geliştirme ekiplerinin açık kaynak yönetimi, açık kaynak bileşenlerini güncel tutma gibi konularda gelişmeleri gerektiğini açıkça göstermektedir. Açık kaynağın daha eski, daha savunmasız sürümlerini kullanmanın sonuçları korkunç olabilir. Örneğin, 2024 OSSRA’da listelenen ilk 10 güvenlik açığından 2’si jQuery 1.2 ila 3.5.0 sürümlerindeki siteler arası komut dosyası oluşturma güvenlik açığıdır. Bu sorun jQuery 3.5.0’da yamanmıştır. Ancak güvenlik riskleri açısından taranan kod tabanlarının üçte biri hala bu güvenlik açığına sahip jQuery sürümünü kullanmaktadır. Bu güvenlik açığının istismar edilmesi, kötü niyetli verilerin bir sistemi ihlal etmek için kullanılabileceği veya hassas verilerin açığa çıkabileceği anlamına gelmektedir.
jQuery doğası gereği güvensiz değildir. Aslında, geniş bir kullanıcı, geliştirici ve destek ekibine sahip, iyi korunan bir açık kaynak kütüphanesidir. Ancak OSSRA verilerine göre jQuery, raporda listelenen tüm jQuery güvenlik açıklarının mevcut yamaları olmasına rağmen, güvenlik açıklarına sahip olma olasılığı en yüksek olan bileşendir. jQuery kullanıcılarının, yazılımın eski sürümleriyle ilişkili potansiyel güvenlik risklerinin farkında olmaları ve bu riskleri azaltmak için adımlar atmaları önemlidir.
Yazılımınızın İçeriğini Bilin
2024 OSSRA raporuna göre, yazılımınızda açık kaynak bileşenlerin bulunması neredeyse kesin. Bu bileşenlerin ne olduğunu, hangi güvenlik veya lisans risklerini taşıdığını biliyor musunuz? Yazılımınızdaki açık kaynaklı bileşenlerin net bir görünürlüğü sağlamak, öncelikleriniz arasında olmalı.
Eğer ekibiniz bu adımı henüz atmamışsa, yapılacak ilk iş, yazılımınızda kullanılan her bileşenin sürümleri, lisansları ve diğer önemli bilgileri içeren detaylı bir Yazılım Malzeme Listesi (SBOM) oluşturmak. Bu listeye sahip olmak, açık kaynak bileşenlerinizi güncel ve güvenli tutmanın yolunu açar.
Saldırganların sıkça hedef aldığı popüler açık kaynak bileşenleri söz konusu olduğunda, bu bileşenleri güncel tutmak hayati önem taşır. Açık kaynak yönetimi, yazılım geliştirme sürecinizin ayrılmaz bir parçası olmalıdır.
SBOM’unuzdaki bileşenleri etkileyebilecek güvenlik sorunlarına ilişkin eyleme geçirilebilir tavsiyeler için güncel haber akışlarını takip edin. Açık kaynağın yönetimini kolaylaştırmak için otomatik bir Yazılım Kompozisyon Analizi (SCA) aracı kullanın ve geliştiricilerinizin odaklarını kod yazmaya yönlendirin. Bu sayede, yazılımınızın kalitesini ve güvenliğini sürekli olarak koruyabilirsiniz.
