Önde gelen bir açık kaynak güvenlik kuruluşu, Siber Dayanıklılık Yasası'na (CRA) uyum için son tarih olan Aralık 2027 öncesinde toplulukta "durgunlaşan farkındalık ve yapısal hazırlıksızlık" konusunda uyarıda bulundu.
CRA, bölgede satılan donanım ve yazılım ürünleri için minimum güvenlik standartlarını uygulamaya yönelik bir AB çabasıdır.
Üreticiler, güvenlik açığı yönetimi ve yazılım tedarik zinciri risklerinin yönetilmesi de dahil olmak üzere, planlama aşamasından kullanım ömrü sonuna kadar ürünlerinde güvenliği sağlamalıdır.
Bununla birlikte, OpenSSF tarafından ankete katılan küresel üreticilerin, geliştiricilerin ve diğerlerinin %66'sı CRA'ya "hiç aşina olmadıklarını" veya "sadece biraz aşina olduklarını" söyledi; bu oran ABD ve Kanada'da %72'ye yükseldi.
Detaylar ve Etkileri
OpenSSF yeni bir raporda, "AB pazarına ticari ürünler sunan herhangi bir kuruluşun uyması gerektiği göz önüne alındığında, bu coğrafi eşitsizlik, küresel tedarik zincirinin büyük bir bölümünün maddi olarak hazırlıksız kaldığını gösteriyor" uyarısında bulundu.
Uzmanların Görüşleri
CRA hakkında daha fazlasını okuyun: AB, Bağlantılı Cihazlar için Siber Dayanıklılık Yasasını Kabul Etti
OpenSSF raporunda öne çıkan diğer bulgular arasında şunlar yer alıyor:
Sistem Güvenliği
Kuruluşların %41'i düzenlemenin kendileri için geçerli olup olmadığına henüz karar vermedi
%45'i uyumluluk son tarihleri konusunda emin değil
Yüzde 56'sı uyumsuzluk nedeniyle verilecek cezalardan habersiz
Nasıl Önlem Alınmalı?
%54'ü, farklı düzenleme yükümlülükleri taşıyan "imalatçıların" ve "komiserlerin" rolleri konusunda hâlâ net değil
Üreticilerin yalnızca %32'si tüm ürünler için Yazılım Malzeme Listeleri (SBOM'lar) üretiyor
Özel Çatallar CRA Uyumluluk Risklerini Artırıyor
Önemli Gelişmeler
CRA kapsamında üreticiler, entegre ettikleri bileşenlerin güvenliğinden yasal olarak sorumludur. Ancak yarıdan fazlası (%51) OpenSSF'ye güvenlik düzeltmeleri için pasif olarak yukarı yönlü projelere güvenmeye devam ettiklerini söyledi. Bu, CRA uyumluluğu açısından önemli bir kırmızı bayraktır.
Daha da kötüsü, birçoğu özel bir çatal bulundurarak, yama yapmayı reddeden veya kullanım ömrünün sonuna gelen açık kaynaklı bir proje gibi yukarı yönlü güvenlik sorunlarını azaltmaya çalışıyor.
Teorik olarak bu onlara yama üzerinde kontrol sağlar ve SBOM şeffaflığını artırır. Raporda, kuruluşların ortalama 86 özel çatala sahip olduğu belirtildi.
Teknik Analiz
Ancak OpenSSF, bu yaklaşımın çok büyük bir teknik borç yaratacağı ve ortalama kuruluşa sürüm döngüsü başına 258.000 dolarlık iş gücüne mal olacağı konusunda uyardı.
"Büyük kuruluşlar (5000'den fazla çalışan) için bu yük, döngü başına 11.000 çalışma saatini aşıyor; bu da CRA'nın, finansal açıdan ileriye dönük tek rasyonel yol olarak üretime yönelik katkıya doğru bir geçişe zorlayabileceğini gösteriyor" diye ekledi.
Raporda, KOBİ'lerin bu sorunlara en çok maruz kaldığı, zira KOBİ'lerin %62'sinin ürünlerinin dörtte üçünden fazlası için açık kaynağa güvendiği, daha büyük kuruluşlarda ise bu rakamın yalnızca %35 olduğu iddia edildi.
Gelecekte Ne Bekleniyor?
OpenSSF, "Hazırlık açığını kapatmak için ekosistemin politika analizinden otomatik uyumluluk araçları ve şu anda CRA kapsamındaki durumlarından emin olmayan ticari olmayan geliştiricilerin %61'i için daha net rehberlik gibi operasyonel araç setlerine geçmesi gerekiyor" dedi.
"Güvenliklere hızlı müdahaleyi yönetmek için görevlilere mali ve hukuki destek de gereklidir. Sonuçta başarı, resmi düzenleyici kanalların ötesinde, uygulayıcıların çoğunluğunun öğrendiği ve işbirliği yaptığı açık kaynak vakıfları, çevrimiçi tartışmalar ve sosyal medya gibi topluluk odaklı alanlara geçmeyi gerektirecektir."
Sonuç ve Değerlendirme
Güvenlik açığı araştırması ve istismar geliştirme için yapay zeka araçlarının artan kullanımı, CRA uyumluluk misyonuna ekstra aciliyet katıyor.
OpenSSF, Linux Foundation Exchange (LFX) platformunda indekslenen 12.000'den fazla açık kaynak projeden elde edilen verilerin, 2026 yılının ilk çeyreğinde yayınlanan CVE'lerde yıllık bazda %394'lük bir artış olduğunu ve yüksek önem dereceli bulguların %811 oranında arttığını ortaya koydu.