Yakın zamanda XZ Utils veri sıkıştırma yardımcı programında (neredeyse tüm büyük Linux dağıtımlarında mevcut olan) bir arka kapının keşfedilmesi, açık kaynak bileşenleri kullanan kuruluşların yazılımın güvenliğinin sağlanması konusunda nihai sorumluluğun kendilerine ait olduğunu hatırlatıyor.
XZ Utils, diğer binlerce açık kaynak projesi gibi gönüllüler tarafından yürütülüyor ve bu durumda onu yöneten tek bir bakımcı var. Bu tür projelerin genellikle güvenlik sorunlarını ele almak için çok az kaynağı vardır veya hiç yoktur; bu da kuruluşların yazılımı riskleri kendilerine ait olmak üzere kullanması anlamına gelir. Güvenlik uzmanları, bunun, güvenlik ve geliştirme ekiplerinin, açık kaynak riskini yönetmek için dahili olarak geliştirilen kodlarla aynı şekilde önlemler uygulaması gerektiği anlamına geldiğini söylüyor.
Endor Labs'ın kurucu ürün müdürü Jamie Scott, "Bir kuruluşun tedarik zinciri risklerine maruz kalmayı etkili bir şekilde önlemesi pek mümkün olmasa da, kuruluşlar kesinlikle bir tedarik zinciri saldırısının başarılı olma olasılığını azaltacak bir stratejiye odaklanabilirler" diyor.
Açık kaynak, dış kaynak kullanımıyla aynı şey değildir: “Yazılımın açık kaynak bakımcıları gönüllülerdir. Endüstri düzeyinde onlara bu şekilde davranmamız gerekiyor. Yazılımımız bize aittir; Yeniden kullandığımız yazılımlardan biz sorumluyuz.”
İyi Niyetli, Yetersiz Kaynaklı
Açık kaynak yazılım güvenliğine ilişkin endişeler hiçbir şekilde yeni değildir. Ancak çoğu zaman aşağıdaki gibi keşifler gerekir: Log4Shell güvenlik açığı ve XZ Utils'te arka kapı kuruluşların kodlarındaki bileşenlere karşı ne kadar savunmasız olduğunu gerçekten anlamak için. Ve çoğu zaman kod, iyi niyetli ancak kaynakları yetersiz olan ve asgari düzeyde bakımı yapılan açık kaynaklı projelerden gelir.
Örneğin XZ Utils aslında tek kişilik bir projedir. Başka bir kişi başardı arka kapıyı yardımcı programa gizlice sokun yaklaşık üç yıllık bir süre boyunca, yavaş yavaş proje yürütücüsünün yeterli güvenini kazanarak. Eğer bir Microsoft geliştiricisi Mart ayı sonlarında Debian kurulumuyla ilgili tuhaf davranışları araştırırken bu fırsatı yakalamamış olsaydı, arka kapı büyük şirketlere ve devlet kurumlarına ait olanlar da dahil olmak üzere dünya çapında milyonlarca cihaza bulaşmış olabilirdi. Arka kapının etkisi çok az oldu çünkü XZ Utils'in yalnızca Debian, Fedora, Kali, açık SUSE ve Arch Linux'un kararsız ve beta sürümlerinde bulunan sürümlerini etkiliyordu.
Bir sonraki açık kaynak kod uzlaşması çok daha kötü olabilir. Tidelift'in kurucu ortağı ve CEO'su Donald Fischer, "Kurumsal kuruluşlar için en korkutucu kısım, uygulamalarının tıpkı XZ Utils gibi açık kaynaklı yazılım projeleri üzerine inşa edilmesidir" diyor. "XZ Utils, tipik kurumsal kuruluşlar tarafından her gün kullanılan onbinlerce paketten oluşan bir pakettir" diyor.
Kendisi, bu kuruluşların çoğunun, riski değerlendirebilmek için yazılım tedarik zincirinin bu bölümünün güvenliği ve dayanıklılığı konusunda yeterli görünürlüğe sahip olmadığını belirtiyor.
son zamanlarda Harvard İşletme Okulu Çalışma, açık kaynaklı yazılımın talep tarafı değerinin şaşırtıcı bir şekilde 8.8 trilyon dolar olduğunu tahmin ediyor. Fischer, bakımcıların bu ekosistemin merkezinde yer aldığını ve çoğunun tek başına uçtuğunu söylüyor. Geçen yıl Tidelift tarafından gerçekleştirilen bir anket, açık kaynak proje sahiplerinin %44'ünün kendilerini projelerinin tek koruyucusu olarak tanımladığını ortaya çıkardı. Yüzde altmışı kendilerini ücretsiz hobi olarak tanımladı ve aynı yüzde, proje yürütücüsü olarak rollerini ya bıraktıklarını ya da bırakmayı düşündüklerini söyledi. Fischer, birçok bakımcının çabalarını stresli, yalnız ve mali açıdan ödülsüz bir iş olarak tanımladığını söylüyor.
Fischer, "XZ utils hack'i, kurumsal kuruluşların güvendiği açık kaynaklı yazılım tedarik zincirinin sağlığına ve dayanıklılığına yetersiz yatırım yapılmasının getirdiği riskleri tamamen ortadan kaldırıyor" diyor. “Kurumsal kuruluşların, en çok güvenilen açık kaynak paketlerinin çoğunluğunun, kendilerini ücretsiz hobiciler olarak tanımlayan gönüllüler tarafından sürdürüldüğünün farkına varmaları gerekiyor. Bu bakımcılar kurumsal tedarikçiler değil ancak onlar gibi çalışmaları ve teslimat yapmaları bekleniyor."
Tehlike: Geçişli Bağımlılıklar
A Endor'un yürüttüğü çalışma 2022'de açık kaynak güvenlik açıklarının %95'inin sözde geçişli bağımlılıklarda veya birincil açık kaynak paketinin bağlı olabileceği ikincil açık kaynak paketlerinde veya kitaplıklarında mevcut olduğunu buldu. Genellikle bunlar, geliştiricilerin doğrudan kendilerinin seçmediği ancak geliştirme projelerinde açık kaynaklı bir paket tarafından otomatik olarak kullanılan paketlerdir.
Scott, "Örneğin, bir Maven paketine güvendiğinizde, bunun sonucunda ortalama olarak ek olarak 14 bağımlılık daha ortaya çıkar" diyor. "Bu sayı, güvendiğiniz her biri için ortalama 77 başka yazılım bileşenini içe aktardığınız NPM gibi belirli yazılım ekosistemlerinde daha da fazladır."
Açık kaynak risklerini azaltmaya başlamanın bir yolunun bu bağımlılıklara dikkat etmek ve hangi projeleri seçeceğiniz konusunda seçici olmak olduğunu söylüyor.
Kuruluşların, özellikle bir ve iki kişilik ekipler tarafından yönetilen daha küçük, tek seferlik paketler olmak üzere bağımlılıkları incelemesi gerektiğini ekliyor Dimitri Stiliadis, Endor'un CTO'su ve kurucu ortağı. Ortamlarındaki bağımlılıkların uygun güvenlik kontrollerine sahip olup olmadığını veya tüm kodun tek bir kişi tarafından mı işlendiğini belirlemelidirler; depolarında kimsenin bilmediği ikili dosyaların olup olmadığı; Stiliadis, birisinin projeyi aktif olarak sürdürdüğünü söylüyor.
Scott, "Çabalarınızı yanıt etkinliğinizi artırmaya odaklayın; olgun bir yazılım envanteri tutmak gibi temel kontroller, yazılım risklerini hızlı bir şekilde tanımlamak, kapsamlandırmak ve tanımlandıktan sonra bunlara yanıt vermek için sahip olabileceğiniz en yüksek değere sahip programlardan biri olmaya devam ediyor" dedi. tavsiyelerde bulunur.
Yazılım bileşimi analiz araçları, güvenlik açığı tarayıcıları, EDR/XDR sistemleri ve SBOM'ların tümü, kuruluşların savunmasız ve güvenliği ihlal edilmiş açık kaynak bileşenlerini hızlı bir şekilde tanımlamasına da yardımcı olabilir.
Tehdidi kabul etmek
Tidelift'ten Fischer, "Maruziyetin azaltılması, üst düzey yönetimde ve hatta yönetim kurulu düzeyinde, ortalama bir yazılım ürününün bileşenlerinin kabaca %70'inin, tarihsel olarak çoğunlukla karşılıksız katkıda bulunanlar tarafından oluşturulan açık kaynaklı yazılım olduğunun ortak anlayışı ve kabulüyle başlar" diyor.
Finansal hizmetler sektörü, FDA ve NIST'teki yeni düzenlemeler ve yönergeler, önümüzdeki yıllarda yazılımın nasıl geliştirileceğini ve kuruluşların bunlara şimdiden hazırlanmaları gerektiğini şekillendirecek. "Burada kazananlar, reaktif bir stratejiden proaktif bir stratejiye ve açık kaynakla ilgili riskin yönetilmesine hızla uyum sağlayacaklar" diyor.
Fischer, kuruluşların güvenlik ve mühendislik ekiplerine yeni açık kaynak bileşenlerinin ortamlarına nasıl geldiğini belirlemelerini tavsiye ediyor. Ayrıca bu bileşenlerin izlenmesine yönelik roller tanımlamalı ve şirketin risk iştahına uymayanları proaktif olarak kaldırmalıdırlar. "Geç aşamadaki sorunlara tepki vermek, son birkaç yılda iş riskinin boyutuyla başa çıkmanın etkisiz bir yolu haline geldi ve ABD Hükümeti sinyal veriyor O dönem sona eriyor” diyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/application-security/xz-utils-scare-exposes-hard-truths-in-software-security
