JFrog raporuna göre teknoloji devleri artan yazılım tedarik zinciri riskleriyle boğuşuyor

Yazılım tedarik zinciri, giderek daha karmaşık ve birbirine bağlı bir dijital ortamda dolaşan kuruluşlar için kritik bir endişe alanı haline geldi. tarafından yakın zamanda yayınlanan bir rapor JKurbağaYazılım tedarik zinciri yönetimi çözümlerinin lider sağlayıcısı olan , kuruluşların yazılım ekosistemlerini güvence altına alırken karşı karşıya kaldıkları artan zorluklara ve risklere ışık tutuyor.

“Yazılım Tedarik Zinciri Birliğin Durumu 2024Geçen hafta yayınlanan rapor, modern yazılım tedarik zincirinin çok teknolojili, çok kaynaklı ve çok uluslu olduğunu ve kuruluşların önemli bir kısmının 10’dan fazla programlama dili kullandığını ortaya koyuyor. Raporda, “Kuruluşların yaklaşık yarısı (%53) 4-9 programlama dili kullanırken, %31’lik önemli bir oran 10’dan fazla dil kullanıyor” ifadesine yer veriliyor.

Bu karmaşıklık, uygulamalar oluşturulurken kullanılabilecek açık kaynak paketlerinde ve kitaplıklarda bir patlamaya yol açtı. “Docker ve npm paket türlerine en çok katkı sağlayanlar oldu. Rapora göre, PyPI katkısı da muhtemelen AI/ML kullanım senaryolarının etkisiyle arttı.” Ancak bu bolluk aynı zamanda kuruluşlar için potansiyel risklerle dolu bir dünyayı da beraberinde getiriyor.

Yalnızca 2023 yılında, güvenlik araştırmacıları küresel olarak 26.000’den fazla yeni CVE’yi (Ortak Güvenlik Açıkları ve Etkilenmeler) açığa çıkardı ve bu da güvenlik açıklarının sayısındaki yıldan yıla artış eğilimini sürdürdü. Raporda, “2023’te en yaygın güvenlik açığı türlerinin Siteler Arası Komut Dosyası Çalıştırma, SQL Enjeksiyonu ve Sınır Dışı Yazma olduğu” vurgulanıyor. Siteler Arası İstek Sahteciliği de daha yaygın hale geldi.”

Yanıltıcı güvenlik açığı puanları gerçek riski maskeliyor

JFrog Güvenlik Araştırması Kıdemli Direktörü Shachar Menashe, konu gerçek dünyadaki sömürülebilirlik olduğunda CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanlarının yanıltıcı doğasını vurguladı. VentureBeat ile yaptığı bir röportajda Menashe, “Tüm kütüphane güvenlik açıkları tanım gereği bağlama bağlı olsa da, tasarım gereği CVSS puanları ‘bağlam bağımlı’ bir saldırı vektörüne sahip değil” dedi. “Bu, varsayılan olarak yararlanılabilen bir güvenlik açığına, yalnızca son derece nadir bir yazılım yapılandırmasında yararlanılabilen bir güvenlik açığıyla aynı puanın verildiği anlamına geliyor.”

Rapor ayrıca “DockerHub topluluk görsellerinde ilk 100’de yer alan Yüksek ve Kritik CVSS puanlarına sahip CVE’lerin %74’ünün aslında istismar edilebilir olmadığını” da ortaya koyuyor. Bu, yüzey düzeyindeki güvenlik açığı puanlarının ötesine bakmanın ve bir kuruluşun yazılımının belirli bağlamı ve yapılandırmasına dayalı olarak gerçek riski değerlendirmenin önemini vurgulamaktadır.

Yazılım tedarik zincirlerinde gizli riskler gizleniyor

Rapor aynı zamanda yazılım tedarik zincirlerinde gizlenen gizli riskleri de vurguluyor; insan hatası ve açığa çıkan sırlar, potansiyel güvenlik açıklarının önemli bir kısmını oluşturuyor. Raporda “İnsan hatası ve açığa çıkan sırlar, yazılım tedarik zincirinizdeki potansiyel riskin önemli bir kısmını oluşturuyor” ifadesine yer veriliyor.

Menashe bu noktayı şöyle detaylandırdı: “İkili düzeyde (derlemeler vs. kaynak kodu) taramanın benzersiz faydaları vardır, çünkü üretimde gerçekte çalışacak olanı tararken ve doğrularken belirli riskler söz konusudur. bunlar yalnızca kod derlendikten sonra kendilerini gösterirler, özellikle de sızdırılmış sırlar; bunlar kaynak kodunda mevcut değildir ancak daha sonra CI/CD hattı tarafından son görüntüye ‘bağlanır’.”

Birbirinden kopuk güvenlik yaklaşımları değerli zaman ve kaynaklara mal olur

Yazılım tedarik zinciri risklerine ilişkin farkındalığın artmasına rağmen kuruluşlar hâlâ geliştirme ekiplerinin değerli zaman ve kaynaklarına mal olan birbirinden kopuk güvenlik yaklaşımlarıyla boğuşuyor. Raporda, “Profesyonellerin %60’ı, ekiplerinin belirli bir ayda uygulamadaki güvenlik açıklarını gidermek için genellikle 4 gün veya daha fazla zaman harcadığını söylüyor.”

Menashe, şirketlere, tarama sonuçlarını bağlamsallaştıran güvenlik çözümlerine yatırım yaparak güvenlik açıklarını daha etkili bir şekilde önceliklendirmelerini tavsiye ediyor. “Taranan görüntüde veya yapıda yalnızca CVE’lerin mevcut olduğunu işaretlemek artık yeterli değil. Bağlamsal tarama, statik veya dinamik olarak yapılabilir (çalışma zamanı çözümleri), ancak bağlamı göz ardı etmek, hem geçen yılın hem de bu yılın raporlarında gösterdiğimiz gibi, ~%75 oranında hatalı pozitif sonuçlara (muhafazakar tahmin) yol açar” dedi.

Raporda ayrıca artan sayıda uygulama güvenliği aracının şirketler için potansiyel bir sorun olduğu vurgulanıyor. “Piyasadaki güvenlik tekliflerinin sayısı hızla artıyor ve kuruluşlar için bu kadar çok güvenlik aracını benimsemenin bazı önemli zorlukları var. Çok fazla nokta çözümü kapsam boşluklarına, birbiriyle çelişen sonuçlara ve uyarı yorgunluğuna neden olabilir; bu da geliştirme iş akışlarını çıkmaza sokar,” diye açıkladı Menashe.

Yapay zeka ve makine öğrenimi yeni zorluklar getiriyor

Yazılım geliştirmede yapay zekanın (AI) ve makine öğreniminin (ML) akışı, yeni zorlukları da ön plana çıkardı. Rapora göre “%94’ü kuruluşlarının açık kaynaklı makine öğrenimi modellerinin güvenliğini ve uyumluluğunu gözden geçirmek için önlemler uyguladığını söylerken”, “neredeyse 5 kişiden 1’i kuruluşlarının kod oluşturmada AI/ML yardımına izin vermediğini söylüyor. güvenlik ve uyumluluk endişeleri.”

İleriye dönük olarak Menashe, kodlama için yapay zeka kullanımının artmaya devam edeceğini öngörüyor ancak ortaya çıkabilecek güvenlik risklerine karşı da uyarıda bulunuyor. “Geliştirici üretkenliği üzerindeki kanıtlanabilir etkisi göz önüne alındığında, GenAI tarafından geliştirilen kodu kullanan şirketlerin sayısının endişe verici bir oranda artmaya devam etmesini bekliyoruz. Ancak tüm geliştiricilerin ve şirketlerin, bu tür uygulamaları kullanmanın güvenlik ve uyumluluk üzerinde çok büyük bir etkiye sahip olabileceğini bilmesi önemlidir çünkü GenAI, belgelerindeki bu tür iddialara rağmen güvenli kod üretemez” diye uyardı.

Menashe ayrıca 2024 için potansiyel bir tehdidin de altını çizerek şöyle konuştu: “CISO’ların 2024’te dikkat etmesi gereken şeylerden biri, saldırganların yapay zekanın bazen var olmayan kütüphaneler oluşturacağı gerçeğinden giderek daha fazla yararlanmasıdır. Kötü aktörler, AI tarafından oluşturulan kodun uydurma kitaplıklar içerip içermediğini görmek için geliştiricilerin sorgularıyla Chat GPT araçlarını yönlendirecek. Saldırganlar daha sonra meşru görünmeleri için bu kitaplıkları oluşturacaktır. Bir geliştirici kodu kopyalayıp yapıştırdığında farkında olmadan kötü amaçlı bir pakete atıfta bulunmuş olur.”

Yazılım tedarik zincirlerini güvence altına almak için temel öneriler

Kuruluşlar sürekli gelişen yazılım tedarik zinciri ortamında gezinirken, JFrog raporu güvenliğe öncelik vermek ve yazılım güvenlik açıklarını yönetmek için kapsamlı bir yaklaşım benimsemek için bir uyandırma çağrısı görevi görüyor.

Menashe, yazılım tedarik zincirlerini daha iyi güvenceye almak isteyen BT liderleri için birkaç önemli öneri sunuyor:

1. “Kuruluşlar, geliştiricilerin OSS paketlerini doğrudan internetten indirmelerini engellemeli ve bunun yerine kamu kayıtlarını proxy olarak kullanmak için bir aracı olarak yapı yönetimi çözümü kullanmalı. Bu, kuruluşların kendi kuruluşlarına gelen yapıtları inceleyip güvence altına almalarına ve kötü amaçlı ve istenmeyen paketleri geliştirici ortamına ulaşmadan önce proaktif olarak engellemelerine olanak tanıyor.”
2. “Bir yazılım sürümünü oluşturan tüm girdileri (yani üçüncü taraf ve açık kaynak paketleri) ve çıktıları (derlemeleri), uçtan uca uygulama güvenliğinin sorunsuz bir şekilde yerleşik olduğu tek bir sistemde yönetmeliler. Bu, güvenlik politikalarının ekipler ve iş akışları genelinde tutarlı bir şekilde uygulanmasını sağlıyor ve DevOps ile Güvenlik ekiplerine operasyonlarını yürütebilecekleri ortak bir pencere sağlıyor.”
3. “Organizasyonlar, potansiyel bir sürüm olgunlaştıkça hiçbir şeyin değişmediğinden emin olmak için kod imzalama gibi kurcalamayı önleme yaklaşımlarını benimsemelidir. Bir yazılım parçası olgunlaştıkça potansiyel sürümleri imzalayarak ve onu yeniden inşa etmek yerine ortamlar arasında tanıtarak, yayınladığınız yazılımın, orijinal olarak derlendiğinde amaçladığınız güvenli, kaliteli bileşenleri içerdiğinden emin olabilirsiniz.

Bağlamsal taramadan yararlanarak, güvenlik çözümlerini birleştirerek ve yapay zeka tarafından oluşturulan kodla ilişkili riskleri proaktif bir şekilde ele alarak, kuruluşlar yazılım tedarik zincirlerini güçlendirebilir ve yazılım ekosistemlerinde gizlenen gizli tehlikelere karşı koruma sağlayabilir.

JFrog raporu, sürekli genişleyen saldırı yüzeyi karşısında dikkatli olmanın ve yazılım tedarik zinciri güvenliğine yönelik kapsamlı bir yaklaşımın her zamankinden daha kritik olduğunu tam zamanında hatırlatıyor.