Açık Kaynaklı Zararlı Yazılım Oranı %156 Artış Gösteriyor

Sonatype, Perşembe günü 10. Yıllık Yazılım Tedarik Zinciri Durumu Raporunı duyurdu ve geçtiğimiz yıl açık kaynaklı zararlı yazılımlarda şaşırtıcı bir şekilde %156’lık bir artış olduğunu, ayrıca açık kaynaklı yazılımların rekor 6.6 trilyon kez indirildiğini ortaya koydu.

Bu bulgular, yazılım tedarik zincirleriyle ilgili büyüyen riskleri vurgulamaktadır. Açık kaynaklı yazılım tüketimi hızlandıkça, bu zincirler giderek daha fazla savunmasız hale geliyor.

7 milyondan fazla açık kaynaklı projeden alınan verilere dayanan rapor, Python paket taleplerinde dikkate değer bir şekilde %80’lik artış ve JavaScript indirmelerinde %70’lik bir yükseliş olduğunu belirtiyor, bu da yazılım tüketiminde önemli bir artışa işaret ediyor.

Ancak, bu artış, 2019’dan bu yana 704,102 tanesi belirlenmiş olan zararlı paketlerin endişe verici bir şekilde çoğalmasıyla birlikte geliyor. Özellikle, birkaç önemli güvenlik açığı 2024’te düzeltilmesi 500 günü aşkın sürdü, bu da bakımı yapanların karşı karşıya olduğu birikmiş işleri gözler önüne seriyor.

Tüketici rehaveti bu sorunu daha da kötüleştiriyor; paketlerin %99’unun güncellenmiş versiyonları mevcut olmasına rağmen, uygulama bağımlılıklarının %80’i bir yılı aşkın süre boyunca güncellenmiyor. Korkutucu bir şekilde, güvenlik açığı olan bileşenler belirlendiğinde, %95 oranında zaten düzeltilmiş bir versiyon var.

Bu artan tehditlerle savaşmak için, Sonatype açık kaynak projelerine yapılan yatırımların artırılmasını savunuyor.

Rapor, ücretli desteği olan açık kaynaklı projelerin, kapsamlı güvenlik politikalarına sahip olma olasılıklarının neredeyse üç kat daha fazla olduğunu ortaya koyuyor. Üstelik, ücretli destekli bileşenler, öne çıkan güvenlik açıklarını %45 daha hızlı çözüyor ve genellikle toplam güvenlik açığı sayılarının yarısına sahip oluyorlar.

Rapor ayrıca, AB’deki Ağ ve Bilgi Sistemleri Direktifi (NIS2) gibi ortaya çıkan düzenlemelere de işaret ediyor. Bu düzenlemeler, Yazılım Malzeme Listesi (SBOM) benimsenmesini teşvik ediyor.

“Son on yılda, özellikle açık kaynaklı zararlı yazılımların yükselişiyle birlikte, yazılım tedarik zinciri saldırılarının karmaşıklıkta ve sıklıkta arttığını gördük,” dedi Sonatype’in CTO’su ve Kurucu Ortağı Brian Fox.

“Önümüzdeki on yıl için canlı ve güvenli bir açık kaynak ekosistemi sağlamak için, açık kaynaklı zararlı yazılımlara karşı uyanık bir güvenlik temeli, tüketici rehavetinin azaltılması ve kapsamlı bağımlılık yönetimi oluşturmalıyız,” diye ekledi.

Yazılım tedarik zincirindeki bu zorluklar, siber güvenlik alanında daha geniş bir trendi yansıtmaktadır. Yeni bir rapor, siber güvenlik profesyonellerinin %66’sının rollerini beş yıl öncesine göre daha stresli bulduğunu vurgulamaktadır. Bu durum, büyük ölçüde karmaşıklaşan tehdit manzarası, düşük bütçeler ve yetersiz eğitimli personel nedeniyledir.