2025’te Açık Kaynak Yazılım Güvenliğinde Sırada Ne Var?

Açık kaynaklı yazılım, teknoloji dünyasında yaygındır ve yazılım kompozisyon analizi gibi araçlar, bağımlılıkları tespit edip güvence altına alabilir. Ancak açık kaynakla çalışmak, özel mülk yazılımla karşılaştırıldığında güvenlik zorlukları sunar.

Açık kaynaklı yazılım güvenliği girişimi Endor Labs’ın baş güvenlik danışmanı Chris Hughes, TechRepublic’e açık kaynaklı yazılım güvenliğinin bugünkü durumu ve gelecek yıl nereye gidebileceği hakkında konuştu.

Hughes, “Kuruluşlar, açık kaynak açısından ne kullandığımızı anlamak için yönetişim gibi bazı temel şeyleri uygulamaya koymaya başlıyor” dedi. “İşletmemizin neresinde bulunuyor? Hangi uygulamalar onu çalıştırıyor?”

2025 için açık kaynak güvenlik trendleri

Hughes, çalışması için açık kaynağı, kaynak kodunun serbestçe bulunabildiği ve muhtemelen bazı kısıtlamalarla başka projeler oluşturmak için kullanılabilen yazılım olarak tanımladı. Geçen yıl, Harvard Business School, açık kaynaklı yazılım mevcut olmadığı takdirde kuruluşların iş dünyasında kullanılan yazılımı yeniden yaratmak için teknolojiye ve emek zamanına 8,8 trilyon dolar yatırım yapması gerekeceğini tespit etti.

Hughes, “Tahminler, tüm uygulamaların %70-90’ının açık kaynağa sahip olduğu ve bu kod tabanlarının yaklaşık %90’ının tamamen açık kaynaktan oluştuğu yönünde” dedi.

Hughes, 2025 yılı için şunları öngörüyor:

• Açık kaynaklı yazılımların yaygın şekilde benimsenmesine, kötü niyetli aktörler tarafından OSS’ye yönelik giderek daha karmaşık hale gelen saldırılar eşlik edecek.
• Kuruluşlar temel OSS yönetişimini uygulamaya devam edecek.
• Daha fazla şirket, OSS tüketimini anlamaya başlamalarına yardımcı olmak için açık kaynaklı ve ticari araçları kullanacak.
• Kuruluşlar OSS’nin risk bilgili tüketimini gerçekleştirecektir.
• İşletmeler, ürünlerinde hangi OSS’yi kullandıklarına ilişkin satıcı şeffaflığı için baskı yapmaya devam edecek. Ancak bu süreç için geniş kapsamlı yetkiler ortaya çıkmayacak.
• Yapay zeka, kodu analiz etmek ve sorunları düzeltmek için yapay zekayı kullanan kuruluşlar da dahil olmak üzere, uygulama güvenliğini ve açık kaynağı çeşitli şekillerde etkilemeye devam edecek.
• Saldırganlar, OSS AI topluluğuna ve ticari satıcılara tedarik zinciri saldırıları başlatmak için yaygın olarak kullanılan OSS AI kitaplıklarını, projelerini, modellerini ve daha fazlasını hedef alacak.
• Kuruluşların yapay zeka modellerine ilişkin daha fazla görünürlüğe sahip olduğu yapay zeka kod yönetimi daha yaygın hale gelecek.

Hughes, kuruluşların açık kaynak yazılımlarının ne kadar güvenli olduğunu, “ne kadar iyi korunduğunu, kimin sürdürdüğünü ve ortaya çıktıklarında güvenlik açıklarını ne kadar hızlı giderdiklerini” de dahil olmak üzere giderek daha fazla bilmek istediklerini söyledi.

Nisan 2024’te bir dizi sosyal mühendislik girişiminin açık kaynak hizmet programlarını tehdit ettiği, özellikle de XZ Utils hizmet programında bir arka kapı açtığı saldırının altını çizdi.

Hughes, “Bu gerçekten çok kötü bir şeydi çünkü açık kaynak ekosistemi büyük ölçüde ücretsiz gönüllüler tarafından sürdürülüyor, boş zamanlarında bunu yapan insanlar… ve çoğu zaman ücret ödenmiyor, ücretsiz vs.” dedi Hughes. “Dolayısıyla bundan faydalanmak ve bundan faydalanmak pek çok insanın dikkatini çeken oldukça alçakça bir şeydi.”

Yapay zeka açık kaynak güvenliğini nasıl değiştiriyor?

Ekim 2024’te Açık Kaynak Girişimi, açık kaynaklı yapay zeka için bir tanım oluşturdu. Girişime göre, açık kaynaklı yapay zekanın dört temel unsuru var: sistemi herhangi bir amaç için kullanma, inceleme, değiştirme ve paylaşma özgürlüğü.

Hughes, Hugging Face gibi dağıtım platformlarının yükselişi nedeniyle açık kaynaklı yapay zekayı tanımlamanın önemli olduğunu söyledi.

“Bu yapay zeka modelleri, özellikle açık kaynaklı olanlar, dünya çapında birçok kuruluş ve kişi tarafından yaygın olarak kullanılıyor” dedi. “Böylece sormaya geri döndük: Bunda tam olarak ne var ve buna kim katkıda bulundu ve nerede?

ROM? Peki savunmasız bileşenler var mı?

Hughes, büyük şirketlerin, küçük şirketlere kıyasla tedarikçileriyle yazılım tedarik zincirlerinin tamamı hakkında şeffaf bir şekilde konuşma şansının daha yüksek olabileceğini söyledi. Bu nedenle, küçük şirketler için yazılımlarında kullanılan yapay zeka modellerine ilişkin görünürlüğe sahip olmama sorunu katlanarak büyüyebilir.

BAKIN: Akıllı ev cihazı üreticileri yakında ABD hükümetinin güvenlik mührü onayına başvurabilecek.

CISA açık kaynaklı yazılım geliştirme güvenliğini teşvik ediyor

Mart 2024’te CISA, ABD federal hükümeti tarafından kullanılan yazılım geliştiricilerinin güvenli geliştirme uygulamalarını kullandıklarını doğrulamaları için tasarlanan güvenli yazılım geliştirme kendi kendine doğrulama formunu tamamladı.

Federal kurumlar başka formlar ve tasdikler de isteyebilir. Ticari tarafta, kuruluşlar benzer gereklilikleri tedarik süreçlerine dahil edebilir. Kuruluşun satıcının sözünü tutacağına güvenmesi gerektiğinden hala bir güven unsuru söz konusudur. Ancak Hughes, açık kaynaklı hizmetlere yönelik saldırıların ardından bu konuşmanın geçen yıla göre daha sık gerçekleştiğini söyledi.

Açık kaynak yazılım güvenliğinin geleceği için çözümler

Hughes, yazılım kompozisyon analizi yapmanın 2025’e girerken yeterli olmadığını söyledi. Hughes, BT uzmanları ve güvenlik profesyonellerinin, yazılım daha karmaşık hale geldikçe güvenlik açıklarının sayısının arttığını ve “nelerin düzeltilmesi gerektiği ve hangi öncelik sırasına göre yönlendirilmesinin bile geliştiriciler için bir vergi haline geldiğini” bilmesi gerektiğini söyledi.

Endor Labs gibi şirketler, dolaylı veya geçişli bağımlılıklar da dahil olmak üzere açık kaynak kodundaki bağımlılıklar hakkında bilgi sağlayabilir.

“Ulaşılabilirlik ve kullanılabilirlik gibi şeylere işaret edebilmek… organizasyon ve geliştirme ekibiniz üzerindeki yük açısından uyumluluk açısından da büyük bir fayda sağlayabilir” dedi.