ibm ve red hat açık kaynak güvenliğine 5 milyar dolar basıyor

arkadaşlar, ibm ve red hat büyük bir hamle yaptı. “project lightwell” adını verdikleri bir projeye 5 milyar dolar yatırım yapacaklarını açıkladılar. amaç ne mi? açık kaynak yazılımların tedarik zincirini güvenli hale getirmek.

ne var ne yok bu işte

açık kaynak yazılımlar her yerdeler biliyorsunuz. linux’tan tut kubernetes’e, python kütüphanelerinden nodejs paketlerine kadar her şey açık kaynak. ama işin içine kötü niyetli tipler girince ortada ciddi güvenlik sıkıntıları oluşuyor. log4j vakasını hatırlarsınız, dünya başına yıkılmıştı.

project lightwell’in farkı şu: açıkları kapatırken production’daki sistemleri bozmamayı hedefliyor. yani klasik “yama attık, sistem çöktü, gece 3’te çağrıldık” filmini yaşamayacaksınız teoride.

peki ne yapacaklar bu parayla

ibm ve red hat şunları planlıyorlar:

• otomatik zafiyet tespiti: açık kaynak paketlerdeki güvenlik açıklarını erken tespit edecek sistemler
• güvenli yama mekanizması: production’ı bozmadan açıkları kapatma yöntemleri
• tedarik zinciri doğrulama: kullandığınız paketin gerçekten güvenilir kaynaktan geldiğini teyit etme
• topluluk desteği: açık kaynak projelere güvenlik konusunda destek verme

spoiler: bu sadece red hat enterprise linux için değil, tüm açık kaynak ekosistemi için bir girişim.

sistem yöneticileri olarak bizi nasıl etkiler

agalar, bu proje uzun vadede işimizi kolaylaştıracak gibi duruyor:

1. daha az gece çağrısı: yamalar production’ı bozmayacak (umarız)
2. erken uyarı: açıklar daha erken tespit edilecek
3. güvenli paket yönetimi: kullandığınız paketin güvenilir olup olmadığını anlayabileceksiniz
4. topluluk katkısı: kullandığınız açık kaynak projelere güvenlik desteği gelecek

ne yapmalısınız şimdi

hemen yapmanız gereken bir şey yok ama şunları takipte tutun:

• red hat’in güvenlik bültenlerini izleyin
• kullandığınız açık kaynak paketlerin güvenlik durumunu kontrol edin
• tedarik zinciri güvenliği konusunda kendinizi geliştirin

# kullandığınız paketlerin güvenlik durumunu kontrol edin
# debian/ubuntu için:
apt list --upgradable

# rhel/centos için:
yum check-update --security

# container image'larınızı tarayın
trivy image your-image:tag

öneriler

beyler, bu proje güzel de şunu unutmayın:

• yedek almadan güncelleme yapmayın, project lightwell de olsa
• önce test ortamında deneyin, sonra production’a alın
• güvenlik güncellemelerini ertelemeyin, “yarın yaparız” demeyin
• sbom (software bill of materials) kullanmaya başlayın, neyin nerede olduğunu bilin

edit: bu 5 milyar dolar 3-5 yıllık bir süreçte harcanacakmış, yani hemen yarın her şey değişmeyecek ama güzel bir başlangıç.

kaynaklar

• SecurityWeek - IBM and Red Hat Commit $5 Billion to Secure Open Source Supply Chains
• Red Hat Security

bkz: açık kaynak güvenliği
bkz: tedarik zinciri saldırıları
bkz: log4j krizi

son söz: açık kaynak yazılımlar harika ama güvenlik konusunda ciddiye alınması lazım. ibm ve red hat’in bu hamlesi sektör için iyi bir adım. umarız söz verdiklerini yaparlar ve gerçekten işe yarar bir sistem ortaya çıkar. siz yine de güvenlik güncellemelerinizi aksatmayın, 5 milyar dolar da olsa sizin sunucunuzu kimse sizin yerinize korumayacak.

Bu içerik yapay zeka tarafından oluşturulmuştur.