Açık Kaynak Topluluğunun Üçte İkisi Siber Dayanıklılık Yasası'ndan Habersiz: 2027'ye Hazırlık Alarm Veriyor Yazılım

Açık Kaynak Topluluğunun Üçte İkisi Siber Dayanıklılık Yasası'ndan Habersiz: 2027'ye Hazırlık Alarm Veriyor

Açık kaynak topluluğunun %66'sı AB'nin Siber Dayanıklılık Yasası'ndan habersiz. 2027 son tarihine hazırlıksız yakalanan geliştiriciler için riskler bü

Önde gelen bir açık kaynak güvenlik kuruluşu, toplulukta Aralık 2027'de yürürlüğe girecek olan Siber Dayanıklılık Yasası (CRA) öncesinde 'farkındalığın durgunlaştığı ve yapısal hazırlıksızlığın hakim olduğu' uyarısında bulundu. CRA, AB'nin bölgede satılan donanım ve yazılım ürünleri için asgari güvenlik standartları getirme çabasıdır. Üreticiler, planlama aşamasından ürün ömrünün sonuna kadar güvenliği ürünlerine entegre etmek, güvenlik açığı yönetimini ele almak ve yazılım tedarik zinciri risklerini yönetmek zorundadır.

Ancak OpenSSF tarafından yapılan bir ankete göre, dünya genelindeki üretici, geliştirici ve diğer paydaşların %66'sı CRA hakkında 'hiç bilgisi olmadığını' veya 'çok az bilgi sahibi olduğunu' belirtti. Bu oran ABD ve Kanada'da %72'ye yükseldi. OpenSSF raporunda, 'AB pazarına ticari ürün koyan herhangi bir kuruluşun uyum sağlaması gerektiği düşünüldüğünde, bu coğrafi farklılık küresel tedarik zincirinin önemli bir bölümünün maddi olarak hazırlıksız olduğunu gösteriyor' ifadelerine yer verildi.

Raporun diğer çarpıcı bulguları şöyle: Kuruluşların %41'i hala düzenlemenin kendileri için geçerli olup olmadığını belirleyemedi. %45'i uyumluluk son tarihlerinden emin değil. %56'sı uyumsuzluk cezalarından habersiz. %54'ü farklı düzenleyici yükümlülükler taşıyan 'üretici' ve 'yönetici' rollerini hala net olarak ayırt edemiyor. Üreticilerin sadece %32'si tüm ürünleri için Yazılım Malzeme Listesi (SBOM) üretiyor.

Özel Forklar CRA Uyumluluğu Riskini Artırıyor: CRA kapsamında üreticiler, entegre ettikleri bileşenlerin güvenliğinden yasal olarak sorumludur. Ancak ankete katılanların yarısından fazlası (%51) güvenlik düzeltmeleri için pasif olarak yukarı akış projelere güvenmeye devam ettiklerini söyledi. Bu, CRA uyumluluğu için önemli bir kırmızı bayrak. Daha da kötüsü, birçok kuruluş yukarı akış güvenlik sorunlarını (örneğin, yama yapmayı reddeden veya ömrünü tamamlamış bir açık kaynak projesi) özel bir fork (çatal) oluşturarak hafifletmeye çalışıyor.

Teoride bu, onlara yama yapma kontrolü sağlar ve SBOM şeffaflığını artırır. Rapora göre kuruluşlar ortalama 86 özel fork barındırıyor. Ancak OpenSSF, bu yaklaşımın büyük bir teknik borç yarattığı ve ortalama bir kuruluşa her sürüm döngüsünde 258.000 dolar işçilik maliyeti çıkardığı uyarısında bulundu. 'Büyük kuruluşlar (5000+ çalışan) için bu yük, döngü başına 11.000 iş saatini aşıyor ve bu da CRA'nın nihayetinde mali açıdan tek rasyonel yol olarak yukarı akış katkısına geçişi zorlayabileceğini gösteriyor' denildi.

Sonuç ve Değerlendirme

KOBİ'ler bu sorunlara en açık olanlar; çünkü %62'si ürünlerinin dörtte üçünden fazlasında açık kaynak kullanırken, bu oran büyük kuruluşlarda sadece %35. OpenSSF, 'Hazırlık açığını kapatmak için ekosistem, politika analizinden operasyonel araç setlerine geçmeli; otomatik uyumluluk araçları ve CRA kapsamındaki statüsünden emin olmayan ticari olmayan geliştiricilerin %61'i için daha net rehberlik sağlanmalı' dedi. Ayrıca, hızlı güvenlik açığı yanıtını yönetmek için yöneticilere mali ve hukuki destek şart.

AI araçlarının güvenlik açığı araştırması ve istismar geliştirme için artan kullanımı, CRA uyumluluk misyonuna ek aciliyet katıyor. Linux Foundation Exchange (LFX) platformunda indekslenen 12.000'den fazla açık kaynak projesinden alınan veriler, 2026'nın ilk çeyreğinde yayınlanan CVE'lerde yıllık bazda %394, yüksek şiddetli bulgularda ise %811 artış olduğunu gösterdi.

Nasıl Önlem Alınmalı?

Sonuç olarak, açık kaynak topluluğunun CRA konusunda farkındalığını artırması ve uyumluluk için gerekli adımları atması hayati önem taşıyor. Özellikle SBOM oluşturma, güvenlik açığı yönetimi ve yukarı akış projelere katkıda bulunma gibi konularda proaktif olunması gerekiyor. 2027 son tarihi yaklaşırken, hazırlıksız yakalanan kuruluşların büyük yaptırımlarla karşılaşması kaçınılmaz görünüyor.

Kaynak: infosecurity-magazine.com

Paylaş: