Son birkaç ay içinde, açık kaynak topluluğu, açık kaynaklı yazılımların güvenliği ve emniyeti hakkında büyük sorulara yol açan birkaç kritik olay gördü. Açık kaynaklı projeler ve güvenlik konusunda şu anda neler olup bittiğini nasıl değerlendirebiliriz, bu projeleri nasıl daha sürdürülebilir hale getirebiliriz ve gelecekte ne yapmalıyız?
Güvenlik Önemlidir
SERTİFİKALI VERİ YÖNETİMİ PROFESYONELİ OLMAK İÇİN EĞİTİM
CDMP hazırlama konusundaki çevrimiçi eğitim programımız, farklı veri disiplinleri için sağlam bir temel sağlar.
Baştan, iki şeyi kabul etmeliyiz. Birincisi, yazılımın insanlar tarafından yazılması ve insanların hata yapmasıdır. Bu, yazılımda her zaman düzeltilmesi gereken sorunlar olacağı anlamına gelir. İkincisi, açık kaynaklı yazılımların artık her zamankinden daha yaygın olarak kullanılmasıdır. Sorunlar keşfedildiğinde, daha fazla kuruluşu etkileyecektir.
Bunun yakın tarihli bir örneği, çok çeşitli yazılım projelerinde yerleşik olarak bulunan açık kaynaklı bir günlük aracı olan Apache Log4j'dir. Güvenlik sorunuydu keşfetti Başlangıçta Minecraft'ta, sorunun ölçeği anlaşılmadan ve projeyi düzeltmek için yamalar yapılmadan önce. Sorun, dünya çapında on binlerce kuruluşu etkiledi. Neyse ki - göre araştırma Sophos tarafından – hatanın kendisi korkulduğu kadar geniş çapta istismar edilmemiştir. Bunun nedeni, açık kaynak topluluğunun sorunu çözmek için yaptığı hızlı çalışma ve kuruluşların güncellemeleri ne kadar hızlı dağıtabilmesiydi.
Birkaç hafta sonra, yaygın olarak kullanılan iki Javascript kitaplığı (colors.js ve faker.js), onlardan sorumlu olan sağlayıcı tarafından sabote edildi ve bu kitaplıkların yüklendiği uygulamaların bozulmasına yol açtı. Çalışmalarından kâr eden diğer şirketlerden bıktığını iddia etti. Bu olay, dünya çapında on binlerce web sitesini ve uygulamayı etkiledi. Kitaplıklar, sorunları içermeyen sürümlere hızla geri alındı.
Minnesota Üniversitesi'ndeki araştırmacılar ayrıca, çeşitli inceleme süreçlerinden geçip geçemeyeceklerini görmek için kötü amaçlı kod içeren Linux çekirdek yamalarını göndererek açık kaynakta güvenlikle ilgili sorunlar olduğunu kanıtlamaya çalıştılar. Bu durumda, sorunlar hızla yakalandı ve dahil edilmeyi başaramadı. Üniversitenin araştırma ekibi de metodolojileri kusurlu olduğu için ilk etapta buna yaklaşımları nedeniyle sert bir şekilde eleştirildi.
Tüm bu sorunların işaret ettiği şey, güvenlikle ilgili açık kaynağın savaşmak zorunda kaldığı bir sorundur. son 20 yıl. Argüman, açık kaynaklı projelerin tek bir ticari kuruluşa ait olmadığı ve sürdürülmediği için, garip ve kötü niyetli şeylerin kolayca kaynak koduna girebileceğidir.
Açık Kaynak ve Güvenlik için Gelecek Neleri Bekliyor?
Buna karşı koymak için açık kaynak projeleri, açık olmanın potansiyel sorunları tespit etmeyi ve düzeltmeyi kolaylaştırdığına işaret edecektir. Teorik olarak, açık kaynak kodu herhangi biri tarafından incelenebilir ve doğrulanabilir, ya kuruluşların kendileri ya da kendiniz ya da bu işi yapmak ve sizin için güvenliğini doğrulamak için güvenilen üçüncü şahıslar tarafından. Kapalı kaynaklı programlar aynı yaklaşıma sahip değildir, bu nedenle kodun sorunlardan arınmış olduğuna inanmanız gerekir.
Uygulamada, bu "çok göz" modeli, işi yürütmek için mevcut kaynaklar olduğunda çalışır. Bunu iş olarak tanımlamak doğrudur – bu potansiyel sorunları bulmak için deneyim, beceri ve zamana ihtiyacı vardır. Düzenli olarak gün ışığına çıkıyorlar – örneğin, Qualys bulundu Ocak 2022'de, sorunun 12 yıldan uzun süredir var olduğu her Linux işletim sistemi sürümünde bulunan bir araç olan Polkit ile ilgili bir sorun. Bu süre herhangi bir yazılım projesi için ideal değildir, bu nedenle bu işi proje yürütücüler ve bu araçları kendi çıkarları için kullanan şirketler için uygulanabilir kılmak için daha fazlasının yapılması gerekiyor.
Bunu zaman içinde daha etkili hale getirmek için ABD hükümeti, güvenlik konularını en iyi nasıl planlayacağını tartışmak için açık kaynak sektörünün önde gelen isimleriyle zaten görüşüyor. Bu, federal hükümet kuruluşlarının tüm projeleri için bir yazılım malzeme listesinin (SBOM) zorunlu kılınmasını içerir; bu, ekiplerin yazılım ürünlerinin sahip olduğu bağımlılıklar hakkında sahip olduğu kavrayışı artıracaktır. Bu, olası sorunları anlamayı ve düzeltmeyi kolaylaştıracaktır. gelecekte. Aynı zamanda, bu tartışmalar açık kaynak güvenlik çalışmasının nasıl daha sürdürülebilir hale getirileceğini de kapsayacaktır.
Açık kaynak zaten güvenilirdir ve dünya çapında milyonlarca kişi tarafından kullanılmaktadır. Yukarıdaki gibi olaylar belirli sorunlara veya kusurlara dikkat çekerken, aynı sorunlar açık kaynaklı olmayan yazılım ve hizmetlerde de mevcuttur. Belirli bir yazılım parçasını ne kadar çok benimseme ve kullanıcı kullanırsa, bir sorun o kadar etkili olur. Son birkaç yıldaki büyük güvenlik sorunlarına veya yazılımla ilgili hatalara bakın ve bunların Solarwinds saldırısı gibi hem açık kaynaklı hem de kapalı kaynaklı yazılımlarda ortaya çıktığını göreceksiniz.
Toplum olarak daha iyisini yapabiliriz. Bu olaylar bize açık kaynak projelerini uzun vadede nasıl daha güvenli, daha sürdürülebilir ve daha güvenli hale getireceğimizi düşünme fırsatı veriyor. İlk olarak, topluluğa ve belirli bir projeye katılmak ve katkıda bulunmak için temel bileşenlere güvenen şirketlere ihtiyacımız var. Ardından, kritik açık kaynağın koruyucularını ve yaratıcılarını desteklememiz gerekiyor. Açık kaynaklı projeler, aktif katılımla daha iyi hale gelir ve bu, projeleri doğrudan sürdürenlere destek sağlamayı içerir. Başarılı bir projeyi sürdürmek, sadece bir aşk emeğinden daha fazlası olmalıdır.
Sık kullanılan yazılımları sürekli olarak kontrol etmek, güvenceye almak ve geliştirmek için ayrılmış zamana ve kaynaklara sahip olmak çok önemlidir. Bir topluluk olarak, katkılar, kod kalitesi ve projeleri kontrol etme konusunda güvenliği zaman içinde daha kolay ve net hale getiren bir duruş benimsememiz gerekiyor. Açık kaynak yaklaşımı, proje yürütenleri ve katkıda bulunanları ve bunları kullananları kapsayan daha sürdürülebilir bir yaklaşıma dayalı olarak gelecekte bunu herkes için kolaylaştırır.
