Synopsys Çalışması, Yazılım Tedarik Zinciri Güvenliğinde En İyi Savunma Olarak Kapsamlı SBOM İhtiyacını Vurguluyor
6 / Mart / 23
Kod tabanlarının %84’ü en az bir bilinen açık kaynak güvenlik açığı içeriyor.
Bu oran geçen yılki bulgulara göre neredeyse %4’lük bir artış gösterdi.
Synopsys, Inc. Açık Kaynak Güvenliği ve Risk Analizi (OSSRA) raporunun sekizinci baskısını yayınladı. Synopsys Siber Güvenlik Araştırma Merkezi (CyRC) tarafından hazırlanan 2023 OSSRA raporu, birleşme ve satın alma işlemlerinde yer alan 1.700’den fazla ticari ve tescilli kod tabanlarının denetiminin sonuçlarını inceliyor ve 17 sektördeki açık kaynak kullanımındaki eğilimleri vurguluyor.
2023 OSSRA raporunun bulguları, güvenlik, hukuk, risk ve geliştirme ekiplerinin açık kaynak güvenliği ve lisans riski ortamını daha iyi anlamalarına yardımcı olmak amacıyla ticari yazılımdaki açık kaynak güvenliği, uyumluluk, lisanslama ve kod kalitesi risklerinin mevcut durumuna derinlemesine bir bakış sunuyor. Bu yılın bulguları, kod tabanlarının ezici çoğunluğunun (%84) en az bir bilinen açık kaynak güvenlik açığı içerdiğini ortaya koydu; bu oran geçen yıla göre yaklaşık %4 artış gösterdi.
Açık kaynak, tescilli ve ticari koddan kaynaklanan iş riskini azaltmaya yönelik ilk adım, nereden geldiğine veya nasıl edinildiğine bakılmaksızın bir işletmenin kullandığı tüm yazılımların kapsamlı bir envanterini içerir. Kuruluşlar, Log4Shell gibi yeni güvenlik açıklarından kaynaklanan riskleri ele almak için ancak bu eksiksiz envanterle- bir Yazılım Malzeme Listesi (SBOM) – bir strateji oluşturabilir.
Synopsys Yazılım Bütünlüğü Grubu Genel Müdürü Jason Schmitt, “2023 OSSRA raporu bulguları, günümüzde inşa edilen çoğu yazılım türünün temelinde yatan açık kaynak gerçeğinin altını çiziyor” dedi. “Bu yılki denetimlerde ortalama açık kaynak bileşen sayısının %13 artması (528’den 595’e), uygulamalarınızdaki tüm açık kaynak bileşenlerin yanı sıra lisanslarını, sürümlerini ve yama durumlarını listeleyen kapsamlı bir SBOM’un uygulanmasını daha da önemli hale getiriyor. Bu, yazılım tedarik zinciri saldırılarına karşı savunma yaparak iş riskini anlamaya ve azaltmaya yönelik temel bir stratejidir.”
2023 OSSRA raporundan elde edilen temel bulgular şöyle:
● Beş yıllık OSSRA verileri, açık kaynak kullanımında çarpıcı bir büyüme olduğunu gösteriyor: Küresel salgın, eğitim kursları ve eğitmen/öğrenci etkileşimlerinin giderek daha fazla çevrimiçi hale gelmesiyle EdTech sektörünün açık kaynağı benimsemesine katkıda bulunarak %163’lük bir artış göstermiştir. Açık kaynak kullanımında büyük bir artış yaşayan diğer sektörler arasında %97’lik bir artışla Havacılık, Uzay, Otomotiv, Ulaşım ve Lojistik sektörü ve %74’lük bir artışla İmalat ve Robotik sektörü yer almaktadır.
● Son beş yılda yüksek riskli güvenlik açıkları da endişe verici bir oranda artmıştır: 2019’dan bu yana Perakende ve e-Ticaret sektöründeki yüksek riskli güvenlik açıkları %557 oranında artmıştır. Buna karşılık, toplam kodun %89’unun açık kaynak olduğu Nesnelerin İnterneti (IoT) sektöründe aynı dönemde yüksek riskli güvenlik açıklarında %130’luk bir artış görülmüştür. Benzer şekilde, Uzay, Havacılık, Otomotiv, Ulaştırma ve Lojistik dikeyinde yüksek riskli güvenlik açıklarında %232’lik bir artış olduğu tespit edilmiştir.
● Lisansı olmayan açık kaynak bileşenlerinin kullanımı, kuruluşları lisanslı bileşenleri kullananlara göre telif hakkı yasasını ihlal etme konusunda daha büyük risk altına sokmaktadır: Rapor, kod tabanlarının %31’inin belirgin bir lisans olmadan veya özelleştirilmiş lisanslarla açık kaynak kullandığını ortaya koymuştur. Bu, geçen yılki OSSRA raporuna göre %55’lik bir artış anlamına geliyor. Açık kaynak koduyla ilişkili bir lisansın olmaması veya başka bir açık kaynak lisansının bir çeşidi, lisans sahibine istenmeyen gereksinimler getirebilir ve genellikle olası fikri mülkiyet sorunları veya diğer yasal sonuçlar için yasal değerlendirme gerektirir.
● Mevcut kod kalitesi ve güvenlik yamaları kod tabanlarının çoğuna uygulanmamaktadır: Risk değerlendirmelerini içeren denetlenmiş 1.480 kod tabanının %91’i açık kaynak bileşenlerinin eski sürümlerini içeriyordu. Bir kuruluş doğru ve güncel bir SBOM tutmadığı sürece, eski bir bileşen yüksek riskli bir istismara karşı savunmasız hale gelene kadar unutulabilir.
Synopsys Yazılım Bütünlüğü Grubu’nda kıdemli yazılım çözümleri yöneticisi olan Mike McGuire, “Modern geliştirme hızında açık kaynak riskini yönetmenin anahtarı, uygulama içeriklerinin tam görünürlüğünü sağlamaktır” dedi. “Bu görünürlüğü uygulama yaşam döngüsüne dahil ederek, işletmeler risk çözümüne ilişkin bilinçli ve zamanında kararlar almak için gereken bilgilerle kendilerini silahlandırabilirler. Her türlü üçüncü taraf yazılımdan yararlanan kuruluşlar, haklı olarak bu yazılımların açık kaynak içerdiğini varsaymalıdır. Bunu doğrulamak ve ilgili riskleri takip etmek, yazılım tedarik zincirini güvence altına almak için gerekli adımları atan bir satıcı tarafından kolayca sağlanabilecek bir SBOM edinmek kadar basittir.”
2023 OSSRA bulguları hakkında daha fazla bilgi edinmek için raporun bir kopyasını indirebilir, blog yazısını okuyabilir veya 23 Mart’taki web seminerine kayıt olabilirsiniz.