Araştırmacılar, açık kaynak güvenliği durumunda güven eksikliğini keşfetti


Transform 2022’yi 19 Temmuz’da ve neredeyse 20 – 28 Temmuz’da geri getirmekten heyecan duyuyoruz. Bilgili görüşmeler ve heyecan verici ağ oluşturma fırsatları için yapay zeka ve veri liderlerine katılın. Bugün kayıt Ol!


Bugün, Snyk ve Linux Vakfı Açık Kaynak Güvenliğinin Durumu yayınlandı bildiriaçık kaynaklı yazılımların yaygın kullanımının güvenlik risklerini inceleyen .

Rapordan elde edilen en şok edici bulgulardan biri, kuruluşların %41’inin açık kaynaklı yazılım güvenliğine fazla güvenmemesiydi. Aynı zamanda, kuruluşların sadece %49’u OSS geliştirme veya kullanımı için bir güvenlik politikasına sahip olduklarını söyledi.

Rapor, Log4Shell sıfırıncı gün güvenlik açığının yol açtığı tahribatı takiben açık kaynaklı yazılımların güvenliğine ilişkin artan endişelerin ortasında geliyor. Beyaz Saray Açık Kaynak Güvenlik Zirvesi IIAmazon, Google ve Microsoft gibi kuruluşların açık kaynak güvenliğini iyileştirme taahhüdü vermek için bir araya geldiği yer.

Güvenlik hazırlığı eksikliği, kuruluşlara yetişiyor

İşletmeler için, rapordaki ana eğilimlerden biri, kuruluşlar arasında açık kaynak tedarik zincirini güvence altına alma becerisinin olmamasıdır. Örneğin, araştırmacılar ortalama bir uygulama geliştirme projesinin 49 güvenlik açığı ve 80 doğrudan bağımlılığa sahip olduğunu buldu.

Ek olarak, kuruluşların açık kaynak projelerindeki güvenlik açıklarını düzeltmek için harcadıkları süre de 2018’de 49 günden 2021’de 110 güne önemli ölçüde arttı.

Açık kaynaklı yazılımın güvenliğini sağlama zorluğunun temelinde, her proje arasında bakım düzeyinde muazzam bir farklılık olduğu gerçeği yatmaktadır.

“Açık kaynak, devasa bir manzara ve geniş bir kilisedir. Temelde şirketler için çalışan kişiler tarafından geliştirilen Linux Çekirdeği veya Kubernetes gibi her büyük proje için, yüz binlerce çok daha küçük proje var,” dedi Snyk Geliştirici İlişkileri Direktörü Matt Jarvis.

Jarvis, “Bu geliştiricilerin çoğu, boş zamanlarında yazılımın bakımını yapıyor olabilir ve güvenlik sorunları için çok az zaman ve kaynakla kullanıcılara özellikler sağlamaya odaklanıyor” dedi.

Açık kaynak tedarik zincirini güvence altına alan sağlayıcılar

Bu ortamda Jarvis, kuruluşların açık kaynak çözümleri etrafında politikalar tanımlamaya, açık kaynak bağımlılıklarını, kapsayıcı görüntülerini ve kaynak kodunu güvenlik açıkları için taramaya ve bir bütün olarak kuruluşa yönelik riskleri azaltmak için bunları hafifletmeye başlamalarını önerir.

Snyk şu anda güvenlik zekası kullanarak koddaki güvenlik açıklarını otomatik olarak belirlemek için bir çözüm sunuyor ve ana açık kaynak tedarik zinciri güvenlik sağlayıcılarından biri olarak yer alıyor.

Daha geçen yıl Snyk, Series F’nin bir parçası olarak 530 milyon dolar topladığını bildirdi. finansman turu ve 8,5 milyar dolar değerleme elde etti.

Tabii ki Snyk, yazılım tedarik zincirindeki zayıflıkları azaltmaya odaklanan tek çözüm sağlayıcı değil. Ayrıca SonarSource gibi rakiplere karşı da rekabet ediyor. SonarQube geliştirici kodunda kuruluşu riske atabilecek hatalar veya güvenlik açıkları olup olmadığını belirlemek için kod analizi sunar.

Bu yılın başlarında SonarSource, 412 milyon dolarlık fon sağladığını ve değerleme 4,7 milyar dolar. Piyasadaki diğer rakipler arasında DevSecOps ve aşağıdakiler gibi kod kalitesi analiz araçları bulunur: sonatipve benzeri araçlar bağımlı robototomatik bağımlılık güncellemeleri sunan .

Snyk gibi araçlar arasındaki temel fark, geliştiricilerin kendi ürettikleri kodun kalitesini iyileştirmelerine yardımcı olmaya odaklanan SonarQybe gibi kod inceleme araçlarından ziyade üçüncü taraf kodunun güvenliğini sağlamaya yardımcı olan bağımlılık izleme yaklaşımlarıdır.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir şehir meydanı olmaktır. Üyelik hakkında daha fazla bilgi edinin.


Kaynak : https://venturebeat.com/2022/06/21/open-source-security/

Yorum yapın

SMM Panel