Yeni Açık Kaynak Güvenliği Durumu Raporu 2024 mevcuttur ve açık kaynak projeleri için yazılım ve tedarik zinciri güvenliğindeki mevcut eğilimlere endişeyle bakmaktadır.
Duyuru
Aynı adı taşıyan geliştirici güvenlik platformunun sağlayıcısı olan yayıncı Snyk, belgesinde üç önemli nokta belirliyor. Sonuç olarak, artan güvenlik gereksinimleri nedeniyle ekipler artan baskı altındadır; bu da güvenlik önlemlerinin daha az uygulandığı anlamına gelir. Ekiplerin %52'si sürekli olarak Hizmet Düzeyi Anlaşması (SLA) hedeflerine ulaşmada başarısız oluyor. Durağan güvenlik önlemleri, kaynak eksikliği ve artan taleplerin bir araya gelmesi, uygulama güvenliğinin daha da yorulmasına neden olur. Snyk'e göre bu zorlukların üstesinden gelebilecek daha sürdürülebilir güvenlik uygulamalarının eksikliği var.
Gerçekçi olmayan hedefler birçok ekibin SLA'ları karşılamasını zorlaştırır.
(Resim: Açık Kaynak Güvenliğinin Durumu Raporu 2024, snyk.com)
Tedarik zinciri saldırılarına karşı güvenlik açığı da artıyor çünkü birçok şirket tedarik zincirlerini korumaya yeterince hazırlıklı değil. SBOM doğrulaması, yapıt imzalama ve boru hattı koruması gibi modern güvenlik uygulamalarının uygulanmasından yoksundur. Örneğin şirketlerin yalnızca %62,4'ü SBOM'larını (Yazılım Malzeme Listesi) takip ediyor. Ayrıca eski yaklaşımlara güvenmek, özellikle bulut tabanlı ortamlarda saldırı yüzeyini artırır.
Son olarak, yapay zeka kullanımına ilişkin olarak görüşülen ekipler, daha fazla güvenlik açığı veya lisanslama sorunu yaşanacağından korkuyor. Yapay zeka tarafından oluşturulan kodlara duyulan yanlış güven de bir rol oynuyor.
Açık kaynak yazılım, özel uygulamalara göre gücünü daha da artırabilir
Ancak rapor aynı zamanda cesaret verici bir gelişmenin de farkına varıyor: Açık kaynak topluluğu, kritik güvenlik açıklarını düzeltmede önemli ilerleme kaydetti ve genel olarak özel yazılım projelerinden daha fazla yanıt verme yeteneği gösteriyor.
Anketi düzenleyenler ileriye dönük olarak, gelecekteki tehditlere etkili bir şekilde karşı koymak için önleyici güvenlik önlemlerinin genişletilmesini ve tedarik zincirlerinin güvenlik olgunluğunun iyileştirilmesini öneriyor. Bunlar, temel güvenlik uygulamaları, güvenlik açığı yönetiminin daha iyi önceliklendirilmesi, yapay zeka tarafından oluşturulan kodun doğrulanması ve test edilmesi için açık yönergeler ve hatta ekiplere tükenmeyi önlemek için sürdürülebilir önlemlere odaklanmaları konusunda tavsiyelerde bulunmaktır.
Rapor, Amerika Birleşik Devletleri, Kanada ve Birleşik Krallık'ta bulunan yaklaşık 450 uygulama geliştirme ve güvenlik sektörü katılımcısından alınan bilgilere dayanmaktadır. 12 sayfalık belge kayıt sırasında indirilebilir.
Ayrıca okuyun
Daha fazlasını göster
Daha az göster
(DSÖ)
Duyuru
Aynı adı taşıyan geliştirici güvenlik platformunun sağlayıcısı olan yayıncı Snyk, belgesinde üç önemli nokta belirliyor. Sonuç olarak, artan güvenlik gereksinimleri nedeniyle ekipler artan baskı altındadır; bu da güvenlik önlemlerinin daha az uygulandığı anlamına gelir. Ekiplerin %52'si sürekli olarak Hizmet Düzeyi Anlaşması (SLA) hedeflerine ulaşmada başarısız oluyor. Durağan güvenlik önlemleri, kaynak eksikliği ve artan taleplerin bir araya gelmesi, uygulama güvenliğinin daha da yorulmasına neden olur. Snyk'e göre bu zorlukların üstesinden gelebilecek daha sürdürülebilir güvenlik uygulamalarının eksikliği var.
Gerçekçi olmayan hedefler birçok ekibin SLA'ları karşılamasını zorlaştırır.
(Resim: Açık Kaynak Güvenliğinin Durumu Raporu 2024, snyk.com)
Tedarik zinciri saldırılarına karşı güvenlik açığı da artıyor çünkü birçok şirket tedarik zincirlerini korumaya yeterince hazırlıklı değil. SBOM doğrulaması, yapıt imzalama ve boru hattı koruması gibi modern güvenlik uygulamalarının uygulanmasından yoksundur. Örneğin şirketlerin yalnızca %62,4'ü SBOM'larını (Yazılım Malzeme Listesi) takip ediyor. Ayrıca eski yaklaşımlara güvenmek, özellikle bulut tabanlı ortamlarda saldırı yüzeyini artırır.
Son olarak, yapay zeka kullanımına ilişkin olarak görüşülen ekipler, daha fazla güvenlik açığı veya lisanslama sorunu yaşanacağından korkuyor. Yapay zeka tarafından oluşturulan kodlara duyulan yanlış güven de bir rol oynuyor.
Açık kaynak yazılım, özel uygulamalara göre gücünü daha da artırabilir
Ancak rapor aynı zamanda cesaret verici bir gelişmenin de farkına varıyor: Açık kaynak topluluğu, kritik güvenlik açıklarını düzeltmede önemli ilerleme kaydetti ve genel olarak özel yazılım projelerinden daha fazla yanıt verme yeteneği gösteriyor.
Anketi düzenleyenler ileriye dönük olarak, gelecekteki tehditlere etkili bir şekilde karşı koymak için önleyici güvenlik önlemlerinin genişletilmesini ve tedarik zincirlerinin güvenlik olgunluğunun iyileştirilmesini öneriyor. Bunlar, temel güvenlik uygulamaları, güvenlik açığı yönetiminin daha iyi önceliklendirilmesi, yapay zeka tarafından oluşturulan kodun doğrulanması ve test edilmesi için açık yönergeler ve hatta ekiplere tükenmeyi önlemek için sürdürülebilir önlemlere odaklanmaları konusunda tavsiyelerde bulunmaktır.
Rapor, Amerika Birleşik Devletleri, Kanada ve Birleşik Krallık'ta bulunan yaklaşık 450 uygulama geliştirme ve güvenlik sektörü katılımcısından alınan bilgilere dayanmaktadır. 12 sayfalık belge kayıt sırasında indirilebilir.
Ayrıca okuyun
Daha fazlasını göster
Daha az göster
(DSÖ)