Modern yazılım sistemlerinde gizli bağımlılıkların görünmeyen riskler oluşturduğunu söylüyor rapor. Fonksiyon düzeyinde yapılan analizler gereksiz güvenlik düzeltmelerini %90 oranında azaltıyor. Danışmanlık gecikmeleri sistemleri potansiyel kötüye kullanımlara açık bırakıyor.

Kuruluşlar artan bir şekilde üçüncü parti bileşenlere ve açık kaynak kütüphanelere dayandıklarından, uzmanlar bu bağımlılıklarla ilişkili güvenlik risklerine adres vermenin önemli bir öncelik haline geldiğini uyarıyorlar. Endor Labs’ın 2024 Bağımlılık Yönetimi Raporu, yazılım bağımlılıklarını ve zayıflıklarını yönetme konusundaki değişen zorlukları keşfederken, yedi programlama dilinin (Java, Python, Rust, Go, C#, .NET, Kotlin ve Scala) analizi, 2024’teki zayıf noktaların %9,5’ten azının ‘gerçek tehditler’ olarak kabul edildiğini buldu.

“Çoğu organizasyon bağımlılık risklerini yönetmede zorluk çekiyor,” dedi Endor Labs’dan araştırma mühendisi Darren Meyer. “Güvenlik ekipleri (ve yazılım ekipleri) için çok pahalı olan uyarıları araştırma ve her şeyi düzeltme denemesi ise daha da pahalı.”

Bağımlılık Yönetimi
Bağımlılıkları yönetmek basit bir görev değildir çünkü çoğu yazılım projesi, temel kod yazmada geliştiricilerin harcaması gereken zamanı azaltan, geliştirme döngülerini hızlandıran önceden oluşturulmuş işlevsellik sunan üçüncü parti kod kütüphaneleri, çerçeveler ve üretim ortamlarını destekleyen işletimsel bağımlılıklar da dahil olmak üzere çok katmanlı bağımlılıklara dayanır. Herhangi bir güvenlik açığı bu ağ içinde bir kuruluşu önemli güvenlik risklerine maruz bırakabilir.

Üçüncü parti bileşenlerin kullanımı, özellikle açık kaynaklı yazılımlar, modern yazılım geliştirmede yaygın bir uygulamadır çünkü geliştiricilerin temel kod yazmaları gereken zamanı azaltır, geliştirme döngülerini hızlandırır – ancak aynı zamanda bu dış bileşenlerdeki zayıf noktalardan kaynaklanan benzersiz güvenlik zorlukları getirir.

Bunlar arasında, yazılımın kodunda açıkça belirtilmeyen gizli bileşenler olan “perde bağımlılıklardan” kaynaklı birçok güvenlik sorunu vardır ve geleneksel araçların tespit edemediği zayıf noktaları ortaya çıkarabilir.

Bu zayıf noktalar, neredeyse %70’inin NIST’nin NVD gibi güvenlik açığı yönetimi platformları tarafından bildirilen uyarıların, ilgili güvenlik yaması yayınlandıktan sonra yayınlandığını, ortanca bir gecikme süresi olan 25 günü ortaya çıkardığı gerçeği ile iyileştirilmiyor. Ayrıca, halka açık güvenlik açığı veritabanlarındaki tarafından verilen uyarıların neredeyse yarısının kod seviyesinde ayrıntı içermediği, yalnızca %2’sinin fonksiyon özgü zayıf nokta bilgileri sağladığı iddia edilmektedir.

Ayrıca, Endor’un savunduğu gibi, tüm zayıf noktaların aynı risk düzeyine sahip olmadığı, organizasyonlara ulaşılabilir ve suistimale açık zayıflıklara odaklanmaları tavsiye ediliyor çünkü bağımlılıklardaki zayıf noktaların yalnızca %9,5’inin işlev düzeyinde istismar edilebilir olduğu. Bir bağımlılıktaki hassas bir işlevin uygulamanın kodu tarafından çağrılıp çağrılmadığını belirleyen ulaşılabilirlik analizi, güvenlik açığında raporlama gürültüsünü azaltmanın en etkili yöntemlerinden biri olarak ortaya çıkıyor. Raporlara göre, organizasyonlar açık kapıları istismar edebilecek zayıflıklara odaklanarak iyileştirme çabalarını neredeyse %90 oranında azaltabilirler.