Önde gelen bir açık kaynak güvenlik kuruluşu OpenSSF, Siber Dayanıklılık Yasası (CRA) için kritik Aralık 2027 son tarihi öncesinde toplulukta 'farkındalığın duraklaması ve yapısal hazırlıksızlık' uyarısında bulundu. CRA, AB'nin bölgede satılan donanım ve yazılım ürünleri için asgari güvenlik standartları getirme çabasıdır. Üreticiler, ürünlerine planlama aşamasından kullanım ömrü sonuna kadar güvenlik entegre etmek, güvenlik açığı yönetimi ve yazılım tedarik zinciri risklerini yönetmekle yükümlü olacak.
OpenSSF tarafından küresel çapta üreticiler, geliştiriciler ve diğer paydaşlar arasında yapılan ankete göre, katılımcıların %66'sı CRA hakkında 'hiç bilgisi olmadığını' veya 'sadece biraz bilgisi olduğunu' belirtti. Bu oran ABD ve Kanada'da %72'ye yükseliyor. OpenSSF raporunda, 'AB pazarına ticari ürün koyan her kuruluşun uyması gerektiği düşünüldüğünde, bu coğrafi farklılık küresel tedarik zincirinin büyük bir bölümünün maddi olarak hazırlıksız olduğunu gösteriyor' denildi.
Raporun diğer çarpıcı bulguları arasında: Kuruluşların %41'i hala düzenlemenin kendileri için geçerli olup olmadığını belirleyememiş; %45'i uyum son tarihlerinden emin değil; %56'sı uyumsuzluk cezalarından habersiz; %54'ü farklı düzenleyici yükümlülükler taşıyan 'üretici' ve 'yönetici' rollerini net olarak ayırt edemiyor. Sadece %32'si tüm ürünler için Yazılım Malzeme Listesi (SBOM) üretiyor.
Teknik Analiz
Özel Çatallar (Private Forks) CRA Uyum Riskini Artırıyor: CRA kapsamında üreticiler, entegre ettikleri bileşenlerin güvenliğinden yasal olarak sorumlu. Ancak katılımcıların yarısından fazlası (%51), güvenlik düzeltmeleri için pasif olarak yukarı akış (upstream) projelerine güvenmeye devam ettiklerini söylüyor. Bu, CRA uyumu için ciddi bir kırmızı bayrak. Dahası, birçok kuruluş yama yapmayı reddeden veya kullanım ömrü sona eren açık kaynak projeleri gibi yukarı akış güvenlik sorunlarını özel bir çatal (fork) oluşturarak aşmaya çalışıyor. Teoride bu, yamalama üzerinde kontrol sağlıyor ve SBOM şeffaflığını artırıyor. Ortalama olarak kuruluşlar 86 özel çatal yönetiyor.
Sistem Güvenliği
Ancak OpenSSF, bu yaklaşımın büyük bir teknik borç yarattığı ve ortalama bir kuruluşa her sürüm döngüsünde 258.000 dolar iş gücü maliyetine mal olduğu uyarısında bulundu. 'Büyük kuruluşlar (5000+ çalışan) için bu yük, döngü başına 11.000 iş saatini aşıyor; bu da CRA'nın nihayetinde yukarı akış katkısını finansal olarak tek mantıklı yol haline getirebileceğini gösteriyor' denildi. KOBİ'ler bu sorunlara en açık grup; zira rapora göre KOBİ'lerin %62'si ürünlerinin dörtte üçünden fazlasında açık kaynak kullanırken, büyük kuruluşlarda bu oran sadece %35.
OpenSSF, 'Hazırlık açığını kapatmak için ekosistem, politika analizinden operasyonel araç setlerine geçmeli; otomatik uyum araçları ve CRA kapsamındaki statüsünden emin olmayan ticari olmayan geliştiricilerin %61'i için daha net rehberlik sağlanmalı' dedi. 'Yöneticiler için finansal ve yasal destek, hızlı güvenlik açığı yanıtını yönetmek için de hayati. Sonuçta başarı, resmi düzenleyici kanalların ötesine geçerek uygulayıcıların çoğunun öğrendiği ve işbirliği yaptığı açık kaynak vakıfları, çevrimiçi tartışmalar ve sosyal medya gibi topluluk odaklı alanlara yönelmeyi gerektirecek.' Güvenlik açığı araştırmaları ve istismar geliştirmede yapay zeka araçlarının artan kullanımı, CRA uyum görevine ek aciliyet kazandırıyor.
Kaynak: infosecurity-magazine.com