Açık Kaynak Güvenliğinde Yeni Dönem: Takas Odaları ve Gerçek Çözüm Yazılım

Açık Kaynak Güvenliğinde Yeni Dönem: Takas Odaları ve Gerçek Çözüm

Açık kaynak güvenliğinde takas odaları çoğalıyor. Ancak asıl önemli olan veri havuzları değil, bu verileri hızlıca düzeltmelere dönüştürebilen sisteml

Son haftalarda açık kaynak dünyasında adeta bir 'takas odası' (clearinghouse) patlaması yaşanıyor. Chainguard da kendi takas odası Athena'yı duyurdu. Ancak Athena'yı diğerlerinden ayıran en önemli özellik, duyurulduğunda zaten çalışıyor ve gerçek dünyada kullanılıyor olmasıydı. Müşterilerin talebi üzerine aylar önce sessizce inşa edilmişti. Diğer takas odaları ise büyük bir tantanayla duyuruldu ancak henüz var olup olmadıkları bile belli değil. Peki tüm bu takas odaları gerçekten gerekli mi?

Aslında takas odası fikri yeni değil. NVD, GitHub Advisory Database, OSV gibi platformlar yıllardır var. Her satıcının kendi güvenlik açığı portalı da aslında bir takas odası. Fark, bu yeni takas odalarının 'açıklanmamış' (pre-disclosure) güvenlik açıklarını toplaması. Bunlar, kritik projelerden bilinmeyen küçük kütüphanelere kadar geniş bir yelpazedeki açıklar. Unix süreç modeli nedeniyle, en küçük bağımlılıktaki bir açık bile tüm uygulamayı tehlikeye atabilir. Ancak veri havuzunun kendisi hikayenin sadece bir kısmı.

Veri tek başına işe yaramaz. Bir veritabanındaki güvenlik açığı kaydı hiçbir şeyi düzeltmez. Asıl değer, bu veriyi eyleme dönüştürmekte: yani açığı düzeltilmiş, test edilmiş, imzalanmış bir yapıya dönüştürüp, sizin kullandığınız sürüme geri yamalayarak kayıt defterinize koymak. Chainguard yıllardır tam olarak bunu yapıyor: binlerce açık kaynak projeyi izliyor ve bir danışmanlık yayınlandığı anda otomatik olarak kaynaktan yeniden derleyip test edip imzalıyor. Çoğu CVE yaklaşık iki günde düzeltiliyor. Athena sadece bu fabrikaya yeni bir ön kapı. Asıl ürün fabrikanın kendisi.

Peki neden birdenbire açık kaynakta özel güvenlik açıkları seli yaşanıyor? Cevap, bunun bir yan ürün olması. Yapay zeka modelleri, çalışan bir uygulamaya kırılması için meydan okunduğunda, uygulamanın kendi kodundaki açıkları buluyor. Bunları düzeltmek kolay. Ancak bir uygulamanın neredeyse tamamı açık kaynak kütüphanelerden oluşuyor. Model, sizin yazdığınız kodla ithal ettiğiniz kod arasındaki çizgiyi umursamıyor. Derinlerde bir bağımlılıkta bulduğu açık, size ait olmadığı için düzeltemeyeceğiniz bir silaha dönüşüyor. İşte takas odaları bu silahı nereye koyacağını bilemeyenler için bir çözüm.

Bu konsantrasyon, kaç tane takas odası olması gerektiğini de belirliyor. Ortalama istismar süresi artık negatif yedi gün. Yani istismar, yamadan ortalama bir hafta önce başlıyor. 2024'te bu sıfırı geçti. CrowdStrike'a göre istismar edilen açıkların %42'si kamuya duyurulmadan önce kullanılıyor. Saldırgan artık yama ile yarışmıyor; yama başlamadan bitiriyor. Üstelik yayınlanan bir yama, açığı gösteren bir harita niteliğinde. Tüm bu nedenlerle, takas odalarının sayısı değil, bu verileri hızlıca eyleme dönüştürebilen sistemlerin kalitesi önemli.

Sonuç olarak, açık kaynak güvenliğinde asıl zorluk veri toplamak değil, bu verilerle ne yapıldığı. Takas odaları sadece bir araç. Asıl başarı, bu araçları kullanarak güvenlik açıklarını hızlıca düzeltebilen ve kullanıcıların sistemlerine ulaştırabilen bir altyapıya sahip olmak. Chainguard'ın Athena'sı bu yaklaşımın bir örneği. Diğer takas odalarının da benzer bir fabrika kurması gerekecek, aksi takdirde sadece veri yığınından ibaret kalacaklar.

Kaynak: thehackernews.com

Paylaş: