Dokuzuncu baskısı yayınlanan, 2024 Açık Kaynak Güvenlik ve Risk Analizi (OSSRA – Open Source Security and Risk Analysis) Raporu, bizlere ticari yazılımlardaki açık kaynak güvenliği, uyumluluk, lisanslama ve kod kalitesi risklerinin mevcut durumuna derinlemesine bir bakış sunuyor. Bu rapordaki bulgular güvenlik, hukuk, risk ve geliştirme ekiplerinin açık kaynak güvenliği ve lisans riski ortamını daha iyi anlamalarına yardımcı olmak amacıyla hazırlanmaktadır.
Açık kaynağın yaygınlığı ve yapay zeka tarafından oluşturulan koddaki artışla birlikte, artık giderek daha fazla uygulama üçüncü taraf kodla oluşturuluyor.
Peki kodunuzun içinde ne olduğunu biliyor musunuz?
Kodun içinde ne olduğunun tam bir görünüm olmadan ne siz, tedarikçileriniz ne de son kullanıcılarınız yazılımınızın hangi riskleri içerebileceğinden emin olamazsınız. Yazılım tedarik zincirinin güvenliğini sağlamak, kodunuzda hangi açık kaynak bileşenlerinin bulunduğunu bilmek ve bunların ilgili lisanslarını, kod kalitesini ve potansiyel güvenlik açıklarını belirlemekle başlar.
Bu rapor, Synopsys Black Duck Denetim (Audit) Hizmetleri ekibinin 2023 yılında 17 sektördeki 1.067 ticari kod tabanından elde edilen anonimleştirilmiş bulguların analizinden elde edilen veriler ile oluşturulmuştur. Raporda, otomotiv, büyük veri, siber güvenlik, kurumsal yazılım, finansal hizmetler, sağlık hizmetleri gibi sektörler ve nesnelerin interneti, üretim ve mobil uygulamalar da yer alıyor.
Synopsys Denetim Hizmetleri ekibi, 20 yılı aşkın bir süredir dünyanın dört bir yanındaki güvenlik, geliştirme ve hukuk ekiplerinin güvenlik ve lisans uyumluluk programlarını güçlendirmelerine yardımcı olmuştur; birleşme ve satın alma (M&A) işlemleri sırasında yazılım risklerini belirlemek amacıyla her yıl binlerce kod tabanı denetlenmektedir. Denetimler ayrıca bir kuruluşun uygulamalarındaki açık kaynak, üçüncü taraf kodu, web hizmetleri ve uygulama programlama arayüzlerini (API’ler) kapsayan kapsamlı ve doğru bir Yazılım Malzeme Listesi (SBOM) sağlar. Denetim Hizmetleri ekibi, olası lisans uyumluluğunu ve güvenlik risklerini belirlemek için Black Duck Bilgi Bankası’ndan alınan verilere güvenir. Synopsys Siber Güvenlik Araştırma Merkezi (CyRC) tarafından sağlanan ve küratörlüğünü yaptığı Bilgi Bankası, 31.000’den fazla sahte ve depodan 7,8 milyondan fazla açık kaynak bileşeni hakkında veri içerir.
OSSRA raporu, yazılımda açık kaynağın yaygınlığının yanı sıra, bunun düzgün yönetilmemesinin potansiyel tehlikelerini de vurguluyor. Açık kaynak, günümüzde işletmelerin ve tüketicilerin güvendiği tüm uygulamaların temelidir. Açık kaynağın etkili bir şekilde belirlenmesi, izlenmesi ve yönetilmesi, başarılı bir yazılım güvenliği programı için kritik öneme sahip olmasının yanı sıra, yazılım tedarik zincirinin güvenliğinin güçlendirilmesinde de önemli bir unsurdur.
2024 OSSRA Raporundan Bazı Önemli Noktalar
Açık Kaynak Heryerde!
İncelenen 1000 kod tabanının yüzde doksan altısı (%96) açık kaynak içeriyordu.
Bu kodun yüzde yetmiş yedisi (%77) açık kaynaktı.
Otomatik Uygulama Güvenlik Testi Şart!
Uygulama başına ortalama 562 açık kaynak bileşeni kullanılıyor. Açık kaynağın bu ölçekte kullanıldığı bir ortamın manuel testler ile yönetilmesi çok zor. Yazılım kompozisyon aracı (SCA) gibi otomatik güvenlik test araçlarının kullanımı gerekli.
Yüksek Riskli Zafiyetler 2023’e Göre Arttı
Yüksek riskli güvenlik açıklarında 2023’e göre %54 artış gerçekleşti. Kod tabanlarının yüzde seksen dördü (84%) en az bir yüksek riskli açık kaynak güvenlik açığı içeriyordu.
En Önemli 10 Güvenlik Açığından Sekizinin İzi Tek Bir CWE’ye Dayanıyor
Yaygın ve tehlikeli bir istismar olan “siteler arası komut dosyası çalıştırma” (cross site scripting), OSSRA raporunda vurgulanan ilk 10 güvenlik açığının çoğunluğunda görülmektedir.
Lisans Çakışmasına Sebep Olan Kod Parçacıklarının Kullanımı
Bir çok lisans çakışması, kod parçacıkları (snippet – geliştiricinin kesip kendi koduna yapıştırdığı daha büyük bir kod parçasından alıntı) aracılığı ile oluyor. Kod parçacıkları, söz konusu daha büyük kod parçasıyla ilişkili tüm lisans şartlarını ve yükümlülüklerini yanlarında taşır. Kod parçacıklarının en popüler depolarından biri, Creative Commons ShareAlike (CC-SA) kapsamında genel olarak erişilebilen tüm kullanıcı katkılarını otomatik olarak lisanslayan Stack Overflow sitesidir. CC-SA lisansı, copyleft lisanslı bir çalışmadan türetilen herhangi bir eserin aynı copyleft koşulları kapsamında da lisanslanması prensibinden hareketle, hukuki açıdan bir endişe oluşturmakta. 2024 OSSRA raporundaki verilerin gösterdiği gibi, CC-SA lisansları lisans çakışmalarının en büyük nedeniydi; CC-SA 3.0 ve 4.0 tek başına bulunan lisans çakışmalarının %33’ünü oluşturuyordu
Açık Kaynak Kodunun Güncelliği Önemli
Risk değerlendirmesi yapılan 900’den fazla kod tabanının yüzde doksan biri (91%), en güncel sürümün 10 veya daha eski sürüm gerideki bileşenlerini kullanıyor. Kod tabanlarının üçte biri, 2020’de bir yama yayınlanmış olmasına rağmen jQuery’nin en önemli ikinci güvenlik açığına karşı savunmasız olan bir sürümünü kullanıyordu.
AI tabanlı kod geliştirmede lisans, sahiplik, telif hakkı endişeleri
Örneğin, GitHub, Microsoft ve OpenAI’ye karşı açılan bir toplu dava, geliştiricilere kod yazarken otomatik tamamlama tarzı öneriler sunan bulut tabanlı bir yapay zeka aracı olan GitHub Copilot’un hem telif hakkı yasasını hem de yazılım lisanslama gerekliliklerini ihlal ettiğini iddia ediyor. Dava ayrıca, Copilot tarafından önerilen kodun, lisanslı materyalleri herhangi bir atıf yapılmadan, telif hakkı bildirimi yapılmadan veya orijinal lisans şartlarına uyulmadan kullandığını iddia ediyor.
2024 OSSRA raporunda yukarıda değindiklerimizden çok daha fazlası var; zafiyetlerin yazılım tedarik zincirine girmesinin engellenmesi, AI ile gelen risklerden nasıl kaçınılacağı ve yazılım malzeme listesinin (SBOM) kodunuzu nasıl güvenli ve lisans uyumlu olmasını sağlamadaki rolü gibi. Detaylar için aşağıdaki bağlantılardan faydalanmanızı öneririz.
Forcerta olarak temsilcisi olduğumuz Synopsys AST ürünleri ile yazılım güvenliği ihtiyaçlarınız için yardımcı olmaya her zaman hazırız.
Özellikle, “snippet analysis” ve “binary analysis” yeteneğine sahip, detaylı SBOM listeleri üretebileceğiniz Synopsys Black Duck SCA ile, OSSRA raporunda belirtilen konularda önlem alabilir, kodunuzun içinde ne olduğu bilerek eyleme geçebilirsiniz.
Kaynaklar:
Raporun tamamını buradan indirebilirsiniz.
OSSRA 2024 Infografiği
Synopsys Black Duck SCA broşürü