Açık kaynak yazılımın (OSS) faydalarını daha akıllıca özetlemeye yönelik ilerici bir adım olarak, Açık Kaynak Güvenlik Vakfı (OpenSSF), Açık Kaynak Tüketim Manifestosu'nu (OSCM) başlattı. İkonik Çevik Manifesto'ya benzeyen OSCM, temel değerlerle güçlendirilmiş bir belgedir ve açık kaynak kullanımını kolaylaştırmak için tasarlanmış 15 yol gösterici ilkeyi içerir.
Açık kaynaklı yazılım, gelişen yenilikler ve operasyonel verimlilik açısından tartışmasız zor bir fırsat olmuştur. Ancak farklı OSS projeleri arasında kalite ve güvenlik açısından büyük farklılıklar olduğu da kabul edilen bir gerçektir. Sonuç olarak OpenSSF, çok sayıda kuruluşta OSS kullanımına yönelik stratejik bir yaklaşımın eksikliğini vurguladı.
Kolaylıkla dolu olmasına rağmen OSS'nin kendine has kusurları var. OSS'nin geçirdiği değerlendirme sürecinde özellikle üçüncü parti yazılımlarla karşılaştırıldığında endişe verici bir ihmal gözlemlendi. Güvenlik, kod kalitesi ve lisanslama açısından tabi tutulduğu incelemeler tek kelimeyle yetersiz. Bu, OpenSSF Son Kullanıcılar Çalışma Grubu'nun belirttiği gibi önemli risk faktörlerinin ortaya çıkmasına neden oluyor.
Üçüncü taraf yazılımların kötü amaçlı içerik içermesi pek olası olmasa da, OSS'nin inceliklerini bilmeyenler için indirme aşamasında riskler ortaya çıkar. Sonatype kurucu ortağı ve CTO'su Brian Fox, SD Times ile OSS tüketimindeki tehlikeleri tartışırken, zamanın %96'sında, sabit bir sürüm mevcut olduğunda savunmasız bir bileşenin indirildiğini gördük, dedi.
Bu sorunların farkına varan OpenSSF Son Kullanıcılar Çalışma Grubu, bunu düzeltmenin bir yolunu bulmak üzere harekete geçti. Bir dizi tartışmanın rehberliğinde Açık Kaynak Tüketim Manifestosu'nu hazırladılar. OSCM katı bir emir olmaktan ziyade kapsayıcılık amacını savunur ve şekli çeşitli disiplinlerden gelen girdilerle şekillendirilmiştir ve metni onu kullanan bireylere göre kendisini geliştirir.
Manifesto, bilinen güvenlik açıkları ve zararlı paketlerle ilişkili bileşenler için denetim ve karantina işlevleri yoluyla açık kaynak tüketiminin artırılması gibi önemli hükümleri içeriyor.
Kasıtlı olarak zararlı bileşenlerden kaynaklanan tehditlere karşı alınacak en önemli önlem, bileşen tüketimini izlemek için kapsamlı bir izleme sistemine sahip olmaktır. Fox, bunu veri ve davranışsal akışlarla birleştirmenin, sistemlerinizin bir şeyin onaylanıp onaylanmaması veya ayrıntılı incelemeye göre tahsis edilmesi gerektiği konusunda gerçek zamanlı çağrılar almasına olanak tanıdığını ekledi.
Açık kaynak yazılım gözlemlenebilirliği yoluna başlayan kuruluşlar için uygulamalarını önem sırasına göre kategorize ederek başlamak verimli olacaktır. Bunu, genellikle yazılım malzeme listeleri aracılığıyla bu uygulamalara gömülü OSS'nin bir envanterinin derlenmesi ve farklı tedarikçilerin tespit edilmesi takip etmelidir. Fox'a göre pek çok geliştirme ekibi şu anda bu hayati bileşenlere sahip değil.
Daha sonra, çeşitli kayıt çerçevelerinin kullanılması gibi aynı işlev için birden fazla tedarikçinin kullanıldığı örnekleri aramak akıllıca olacaktır. Sırada, güvenli yazılım geliştirme uygulamalarını değerlendirerek en iyi tedarikçilerin yer alması gerekiyor. Bilinen güvenlik açıkları, yazılımın yaşı, popülerliği, sorunların yamalanması için geçen ortalama süre vb. gibi faktörler bu değerlendirmeyi belirlemelidir.
Her kuruluşun kararını kendi risk iştahına ve yukarıda belirtilen analize göre uyarlaması gerekecektir. PII verilerini işleyen bir uygulamada bilinen kritik güvenlik açıklarını bulmak gibi belirli standart risk toleransları mevcut olsa da, bir OSS tüketim politikası oluşturmak, geliştirmeden CI/CD'ye ve en önemlisi yayınlanma aşamasına kadar bunu SDLC genelinde entegre etmek anlamına gelecektir.
Çok çeşitli no-code ve low-code platformlarla dolup taşan mevcut ortamda, OSCM gibi önlemlerin benimsenmesi çok önemlidir. Arka uç, web ve mobil uygulamalar oluşturmaya yönelik kapsamlı no-code bir araç olan AppMaster gibi bir platform, OSS'nin önemini yineler ve riskleri azaltmak ve üretkenliği artırmak için OSCM gibi araçları uygular. Kuruluşların açık kaynağın gücünden tam anlamıyla yararlanabilmesi için, potansiyel riskleri ve verimsizlikleri en aza indirmek hayati önem taşır; bu, OSCM'nin önemli ölçüde yardımcı olabileceği bir şeydir.
