Bir araştırmaya göre 2019 yılındaki en popüler açık kaynaklı yazılımlardaki güvenlik açıkları sayısı, önceki yıla göre iki katına çıktı. 54 açık kaynaklı yazılımı inceleyen araştırmacılar, 2018 yılında bulunan güvenlik açıkları sayısının 421’den 2019 yılında 968’e çıktığını belirttiler.
RiskSense’in bugün yayımlanan The Dark Reality of Open Source (Açık Kaynağın Karanlık Gerçeği) adlı raporu, 2015-2020 yılları arasında popüler açık kaynaklı projelerde 2.694 açık bulunduğuna yer veriyor.
Bizde yok demeyin, ticari yazılımların %99’u açık kaynak kullanıyor
Raporun kapsamında Linux, WordPress, Drupal ve popüler başka yazılımlar, hâlihazırda güvenlik açısından izlemeye tabi olduklarından ve bir açık çıktığında haberlerde yer alarak, hızla yama hazırlandığından dolayı, yer almadı.
RiskSense, bunların yerine, çok bilinaçık kaynaklı meyen ama teknoloji ve yazılım camiasında yer edinmiş olan Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Spark ve Puppet’ın da aralarında bulunduğu diğer yazılımları incelemiş.
İşin ciddiyetini ise şu istatistik gösteriyor: Açık kaynaklı yazılımlar, tüm ticari yazılım projelerinin yüzde 99’unda kullanılıyor.
PostgreSQL açığı 8 ay sonra rapor edilerek rekor kırmış
Şirket, inceledikleri güvenlik açıklarının büyük bölümünün açık edildikten haftalar sonra ABD’deki Ulusal Zafiyet Veritabanı’na (NVD) raporlandığını belirtiyor. Hatta, bu açıkların bildirilme süresi ortalama 54 gün olarak dikkat çekiyor. Bunlar içinde bir örnek (PostgreSQL) ise 8 ay sonra rapor edilmesiyle, adeta rekor kırmış.
Siber güvenlik ve yazılım şirketleri NVD veritabanını güvenlik uyarıları oluşturmak ve paylaşmak için kullandıklarından, burada yaşanan gecikmeler, birçok şirketin güvenlik açığına uzun süre maruz kalıp, saldırılara açık olması anlamına geliyor.
En büyük zarar MySQL ve Jenkins’te
Ayrıca, bu gecikmeler, tehdit aktörlerinin açıkları silahlaştırmaları, yani bu açıklardan faydalanarak toplu ya da büyük saldırılar gerçekleştirebilmeleri anlamına da geliyor.
RiskSense, inceledikleri 54 açık kaynaklı projeden Jenkins otomasyon sunucusu ve MySQL veritabanı sunucusunun güvenlik açıkları, 2015’ten bugüne 15 kez silahlaştırılmış . Bu, araştırmadaki tüm yazılımlar arasındaki en yüksek rakam olarak dikkat çekiyor.
