Siber Dayanıklılık Yasası: Açık Kaynak Topluluğunun Üçte İkisi Farkında Değil Dünya Geneli

Siber Dayanıklılık Yasası: Açık Kaynak Topluluğunun Üçte İkisi Farkında Değil

Açık kaynak topluluğunun %66'sı AB Siber Dayanıklılık Yasası'ndan habersiz. Uyumluluk için Aralık 2027'ye kadar süre var, ancak farkındalık ve hazırlı

Önde gelen bir açık kaynak güvenlik kuruluşu, Aralık 2027'de yürürlüğe girecek olan Siber Dayanıklılık Yasası'na (CRA) uyum konusunda toplulukta 'farkındalığın durağanlaştığı ve yapısal hazırlıksızlık' olduğu uyarısında bulundu. AB tarafından hazırlanan CRA, bölgede satılan donanım ve yazılım ürünleri için asgari güvenlik standartları getirmeyi amaçlıyor. Üreticiler, planlama aşamasından kullanım ömrünün sonuna kadar güvenliği ürünlerine entegre etmek, güvenlik açığı yönetimini ve yazılım tedarik zinciri risklerini ele almak zorunda.

OpenSSF tarafından küresel çapta üreticiler, geliştiriciler ve diğer paydaşlar arasında yapılan bir ankete göre, katılımcıların %66'sı CRA hakkında 'hiç bilgisi olmadığını' veya 'çok az bilgi sahibi olduğunu' belirtti. Bu oran ABD ve Kanada'da %72'ye yükseliyor. OpenSSF, 'AB pazarına ticari ürün sunan her kuruluşun uyum sağlaması gerektiği düşünüldüğünde, bu coğrafi farklılık küresel tedarik zincirinin büyük bir bölümünün maddi olarak hazırlıksız olduğunu gösteriyor' uyarısında bulundu.

Raporda ayrıca, kuruluşların %41'inin düzenlemenin kendileri için geçerli olup olmadığını henüz belirlemediği, %45'inin uyum son tarihlerinden emin olmadığı, %56'sının uyumsuzluk cezalarından habersiz olduğu ve %54'ünün farklı düzenleyici yükümlülükler taşıyan 'üretici' ve 'yönetici' rollerini netleştiremediği ortaya çıktı. Ayrıca, üreticilerin yalnızca %32'si tüm ürünleri için Yazılım Malzeme Listesi (SBOM) oluşturuyor. Özel çatallar da CRA uyumluluğu için risk oluşturuyor; üreticilerin yarısından fazlası (%51) güvenlik düzeltmeleri için pasif olarak yukarı akış projelerine güveniyor.

OpenSSF, bu sorunları aşmak için ekosistemin politika analizinden otomatik uyum araçları ve ticari olmayan geliştiricilere yönelik net rehberlik gibi operasyonel araçlara geçmesi gerektiğini vurguladı. Ayrıca, yöneticilere hızlı güvenlik açığı yanıtı için mali ve hukuki destek sağlanması gerekiyor. Yapay zeka araçlarının güvenlik açığı araştırması ve istismar geliştirme amaçlı kullanımının artması, CRA uyumluluğunun aciliyetini artırıyor. LFX platformunda indekslenen 12.000'den fazla açık kaynak projesinden alınan veriler, 2026'nın ilk çeyreğinde yayınlanan CVE'lerde yıllık %394, yüksek önem dereceli bulgularda ise %811 artış olduğunu gösteriyor.

Paylaş: