Ya da herkes işin içine girince daha fazla karmaşaya ve güvenlik sorununa mı yol açıyor? Açık kaynak kodlu yazılım, güvenlik açısından özel yazılımla nasıl karşılaştırılır?
Her yazılımda güvenlik açıkları olmuştur ve her zaman da olacaktır. Mükemmel bir güvenlik olmadığı gibi mükemmel bir kod temeli de yoktur. Bu da şu soruyu beraberinde getirir: Özellikle büyük ölçekte yazılım sorunlarını çözmenin en iyi yolu nedir? Güvenlik sorunlarıyla ilgili konuştuğumuzda sıklıkla söylediğimiz gibi, bunun yanıtı da “Duruma göre değişir” olacak.
Bug’ları kim çıkardı?
Açık kaynak kodlu yazılım herkesin iyi ya da kötü arka plana bakmasına ve güvenlik ya da işlevsellik sorunlarını çözmesine olanak tanır. Ancak 31. USENIX Güvenlik Sempozyumu’nda yayımlanan 2022 tarihli bir araştırmaya göre, bazen yıllarca fark edilmeyebilecek arka kapılar da ortaya çıkarabilirler.
Kapalı kaynaklı yazılım ise kaynak kodunun gizliliğine ve kendi yazılım geliştiricilerinin uzmanlığına güvenir. Bu, güvenlik konusunda sağlam bir üne sahip olan ve içlerinden en iyilerinin müşterileri elde tutmaya ve çalışmaya devam etmeye yetecek kadar iyi olduğu uzmanlar tarafından sürdürüleceğini umduğumuz bir gizli reçetedir. Geliştiriciler, kaynak kodlarını kullanıma sunup sunmadıklarına bakılmaksızın, güvenli kodlama uygulamalarının geliştirilmesini destekleyen OWASP Top Ten ve SEI CERT Kodlama Standartları gibi belgelerden yararlanabilirler.
Açık kaynak kodlu yazılım kökleri 1950’lere kadar uzansa da Amerika Birleşik Devletleri’nde yazılım 1980’lerin başlarına kadar telif hakkına tabi değildi. Bunun sonuçlarından biri, daha önce ürünlerinin bir parçası olarak kaynak kodu gönderen birçok satıcının bunu yapmayı bırakması oldu. 1980’ler boyunca ve 2000’li yıllara gelindiğinde, Microsoft gibi bazı yazılım şirketleri açık kaynaklı yazılımı işlerine yönelik bir tür varoluşsal tehdit olarak gördüler. Ancak 2010 yılında, onlar da bunu benimsedi.
Bugün Big Tech, açık kaynak kodlu yazılımın güvenliği konusunda kamu-özel sektör iş birliğini giderek daha fazla teşvik ediyor; öyle ki, Beyaz Saray 2022’de bu yazılımın güvenliği konusunda bir zirve düzenledi; bu, muhtemelen açık kaynaklı yazılımdaki güvenlik açıklarının yaygın şekilde kullanılmasının bir sonucuydu. Bu makale hazırlanırken CISA, açık kaynaklı yazılıma yönelik güvenlik yol haritasını yayımladığını duyurdu ve hem açık kaynak kodlu yazılımın teknoloji ekosistemindeki öneminin farkında olduğunu hem de güvenliğinin sağlanmasına yardımcı olma konusundaki kararlılığını vurguladı.
Kapalı kaynaklı yazılım şirketleri ayrıca ortaya çıkan sorunlara göre yazılımı güncellemeyi birinin görevi haline getirme imkanına da sahiptir. Açık kaynak genellikle, sorunlar ortaya çıktıkça müdahale etmek ve çözmek için birçok gönüllüye güvenir; bu, Linus Yasası olarak bilinen bir özelliktir: “Yeterli sayıda göz ile incelendiğinde çözülemeyecek sorun yoktur.” Ancak gönüllüleri bir araya getirmek zor olduğundan, onları günlük hata düzeltme işlerini (güvenliğin pek de cazip olmayan bölümü) yapmaya teşvik etmek daha zordur ve güncellemeler gecikebilir. Ancak bu durum değişiyor olabilir: Google ve Huntr tarafından sunulan hata ödül programları, açık kaynaklı yazılımlardaki güvenlik açıklarının bulunması ve düzeltilmesinden para kazanmanın bir yoludur.
Günümüz yazılım dünyasının gerçekliği bu ikisinin arasındadır; çünkü birçok kapalı kaynaklı proje, sır gibi sakladıkları kodları en üste koymadan önce temeli oluşturmak için genellikle büyük ölçüde açık kaynaklı “yazılım iskeletine” güveniyor. Örneğin, idari bildirimler yapmak için sıfırdan bir e-posta uygulaması oluşturmak yerine bunu kolayca yapabilecek iyi test edilmiş açık kaynaklı projelerden faydalanmak daha mantıklıdır.
Bunun tersine, açık kaynak odaklı bazı şirketler, önemli buldukları açık kaynak yazılım projelerine aktif olarak katkıda bulunurlar. Çünkü ticari müşterileri ve dolayısıyla ticari gelirleri vardır, hataları düzeltmek için birini işe alabilirler.
Ancak bu enteresan güç birliği, ürün olarak kullandığınız tüm yığının açık, kapalı veya bu ikisinin arasında olmasına bakmadan altyapıyı zayıflatabilir ve Log4j güvenlik açıkları gibi sorunlara yol açabilir.
Açık kaynaklı yazılımın ikincil bir etkisi de kriptografiyi doğru bir şekilde elde etmeye çalışmak için her şeyi sıfırdan oluşturmak zorunda olmadıkları için, iletişim yazılımında güvenliğe önem veren kişilerin hızlı bir şekilde işe el atmasına yardımcı olmasıdır.
Proton ve Signal gibi dünyadaki en popüler gizliliği koruyan yazılım projelerinden bazılarının yaptığı da budur; her biri, her şeyin gizli ve güvenli tutulması konusunda sağlam bir üne ve geçmişe sahiptir.
Signal’in kurucuları herkesi kodlarını incelemeye davet eder. Kişisel mesajlaşma toplum için çok önemli bir işlev olduğundan, çok sayıda güvenlik görevlisi tam da buna odaklanır çünkü bir güvenlik açığı veya kriptografik zayıflık çok geniş kapsamlı zararlara yol açabilir.
Merkezi İsviçre’de bulunan Proton, süper güvenli e-postayla işe başladı ve daha sonra kullanıcı kimliğini korumaya yönelik bir dizi başka hizmete doğru genişledi. Bu çalışma, toplum için son derece önemli bir işlevdir ve eğer yanlış giderse ciddi sonuçları olacaktır.
Kapalı kaynağın daha iyi bir performans geçmişine sahip olduğunu düşünüyorsanız, dünyada en yaygın kullanılan kapalı kaynak yazılımlarda bile yıllardır var olan güvenlik açıkları olduğunu belirtelim. Mesela CVE-2019-0859 gibi. Kaspersky Lab tarafından keşfedilen bu güvenlik açığı, masaüstünde Windows 7, Windows 8, Windows 8.1, Windows 10 ve Windows Server’da 2008 R2, 2012, 2012 R2, 2016, 2019 sürümlerinde, on yıllık Microsoft Windows işletim sistemlerinde bulundu.
Şeytan ayrıntıda gizlidir
Gerçek şu ki ne açık kaynak kodlu yazılım ne de kapalı kaynaklı yazılımların birbirinden daha güvenli olduğunu söyleyemeyiz. Burada önemli olan yazılımın geliştirildiği ve güvenlik açıkları için düzeltmelerin yapıldığı süreçtir. Kuruluşların güvenlik pozisyonunun belirlenmesi açısından odaklanması gereken şey, yazılım lisansının türü değil bu düzeltmelerin güvenilirliği ve uygulanabilme hızıdır.
Sonuçta her şey dönüp dolaşıp yazılımı sunan kuruluşun daha kapsamlı güvenlik topluluğuna ne kadar duyarlı olduğuna gelmektedir. Örneğin ESET, MITRE ATT&CK® çerçevesine önemli katkılarda bulunuyor ve çoğunlukla ücretsiz ya da açık kaynaklı birçok güvenlik aracı sağlıyor.
Neredeyse her zaman açık ve kapalı kaynaklı yazılımların bir karışımı olan hibrit yazılım dünyasında, bu durum turnusol testi haline gelir: Şirket veya kuruluş önerilere ve katkılara açık mı ve kazandıklarıyla güvenlik topluluğuna yatırım yapıyor mu? Siz yazılımcılarınızla iyi geçinin çünkü yükselen güvenlik dalgaları tüm dijital gemileri rotasına döndürecek. Mükemmel güvenliği yakalamak zor da olsa, saygınlığı olan güvenilir ekipler size yardımcı olabilir.
