Açık Kaynak Kodlu Yazılımların Güvenlik ve Risk Açısından Değerlendirilmesi Neden mi Önemlidir?
29 Temmuz 2023 tarih ve 32263 sayılı “Kamuda Açık Kaynak Kodlu Yazılım Kullanımı” konulu Genelge ile, harcamalardan tasarruf edilmesi, üretici bağımlılığının azaltılması ve siber güvenliği artırılması amaçlarına hizmet etmek üzere kamuda açık kaynak kodlu yazılımların kullanımının yaygınlaştırılması hedeflenmiştir.
Açık kaynaklı kodlu yazılım (open-source software), kaynak kodun telif hakkı sahibinin, yazılımı herhangi birine ve herhangi bir amaçla kullanma, inceleme, değiştirme ve dağıtma haklarını verdiği bir lisans altında yayınlanan bilgisayar yazılımıdır.
Halihazırda kullanılan yazılımların muadili olabilecek açık kaynak kodlu yazılımların araştırması yapılırken, şüphesiz ihtiyacı ne kadar karşılayıp karşılamadığının değerlendirmesi (Fonksiyon, kapasite, bağımlılık, entegrasyon ve geliştirme ihtiyacı gibi) yapılacaktır. Bu noktada dikkat edilmesi gereken en önemli hususlardan biri de, ürünün konumlandırılması öncesinde risk değerlendirme çalışmalarının gerçekleştirilmesi, ihtiyaçların düzgün bir şekilde belirlenmesi ve izleme/takip süreçleri ile güvenlik gereksinimlerinin sağlıklı bir şekilde yürütülmesidir.
Peki; sektör bağımsız maliyet açısından herkesin dikkatini çeken açık kaynak kodlu ürünler özelinde yapılan araştırma ve analizler bize ne söylüyor, nelere odaklanmalı ve dikkat etmeliyiz?
Synopsys tarafından 2022 yılı verileri ile yayımlanan “2023 Açık Kaynak Güvenliği ve Risk Analiz Raporu’na” göre; güvenlik, uyum, lisans ve kod kalitesi kapsamında en çok dikkat edilmesi gereken konular şunlardır:
- 1.703 codebase (Bir uygulamayı veya hizmeti oluşturan kod ve ilişkili kitaplıklar) üzerinde yapılan analizler çerçevesinde; codebase’in %84'ünün bilinen en az bir zaafiyet içerdiği ve %48'inin yüksek risk seviyesinde bir zaafiyet olduğu belirlenmiştir. Yüksek risk seviyesindeki zaafiyetlerin bir önceki yıla göre %2 düşüş sağladığı gözlemlenmesine rağmen, codebase’in en az bir zaafiyet içerme oranı %4 artmıştır. Yani; açık kaynak kodlu ürünlerin zafiyet içerme olasılığı azımsanmayacak kadar yüksektir ve bu riskin dikkate alınmaması kurum güvenliğinizi riske atabilir.
- Gartner’ın araştırmasına göre; dünya çapındaki kuruluşların %45'i, 2025 yılına kadar yazılım tedarik zinciri saldırılarına maruz kalacaktır. Uygulamalardaki açık kaynak kodu ve üçüncü taraf kodu yönetmek; bağımlılıklar hakkında tam bir görünürlük elde etmek [Log4J] ve bu bileşenlerin getirdiği risklerle ilgili bilgileri değerlendirmek en önemli adımların başında gelmektedir.
- 2022 yılında incelenen codebase’lerin %54'ü lisans sorunları içermektedir. 2020 yılına göre; lisans problemlerinde %17'lik bir iyileşme görülmesine rağmen hala ciddi anlamda lisans problemlerinin yaşandığı göz ardı edilmemelidir [GitHub’dan elde edilen ya da birisinin bir blog ya da web sitesinde kullanıma sunduğu bir kodun kullanılması telif hakkı sorununa neden olabilir.].
- Ticari yazılımlar için yama ve güncellemeler çoğunlukla “otomatik” olarak yönetilmekte ya da ilgili üreticilerden konuya yönelik bildirimler geldiği için güncellemelerin gözden kaçma riski asgari seviyededir. Açık kaynak kodlu ürünler de ise durum biraz farklıdır. Bir bileşenin güvenliğini takip etmek, yeni versiyon ya da yamanın olup olmadığının kontrolünü sağlamak kaynak kod kullanıcısının sorumluluğundadır ve takibinin yapılmaması ciddi risklere neden olabilmektedir.
- Açık kaynak kodun düzenli olarak geliştirilip geliştirilmediğinin ve bakımının yapılıp yapılmadığının da dikkate alınması önemlidir [Örneğin; Linux, yüzlerce kuruluştan binlerce geliştirici tarafından her gün geliştirilmektedir. Bununla birlikte; 1.481 codebase’in %91'i için son iki yılda hiçbir geliştirme yapılmadığı, kod iyileştirme ya da güvenlik sorunlarının çözülmediği tespit edilmiştir.].
Maliyetin düşürülmesi ve üretici bağımlılığının azaltılması gibi güzel amaçlara hizmet eden açık kaynak kodlu yazılımlar için “güvenlik”, “uyum” ve “risk” konularına yeterince odaklanılmaması ve satın alma süreçlerinin hızlı bir şekilde yürütülmesi belki de saldırı vektörünün büyümesine en büyük katkıyı sağlayacaktır. Güvenlik risklerinizi sağlıkla yönetebildiğiniz ve siber saldırılara konu olmadığınız bir yıl diliyorum.
Sevgilerimle,
Meltem Yapar
