IBM, Red Hat ve Deloitte, kurumların kullandığı açık kaynak yazılımlardaki güvenlik açıklarının daha hızlı tespit edilmesi ve giderilmesi amacıyla Lightwell girişimi kapsamında iş birliğine gitti. Deloitte, projeye entegrasyon ve siber risk yönetimi hizmetleri sağlayacak. İş birliği, özellikle mevzuata uyum yükümlülüğü bulunan kurumların yazılım tedarik zincirlerinde otomatik zafiyet yamalama süreçlerini ölçeklendirmeyi hedefliyor.
Lightwell kapsamında IBM ve Red Hat'in açık kaynak güvenliği alanındaki mühendislik ve otomasyon çalışmaları, Deloitte'un yazılım tedarik zinciri mimarisi ve risk yönetimi hizmetleriyle bir araya getirilecek.
Sürüm yükseltmeden güvenlik yaması
Kurumsal uygulamalar genellikle şirket içinde geliştirilen kodları, açık kaynak bileşenleri ve üçüncü taraf ticari yazılımları aynı anda kullanıyor. Bu bileşenlerden birinde bulunan ve giderilmeyen bir güvenlik açığı, uygulamanın tamamını ve bağlantılı sistemleri etkileyebiliyor.
Lightwell, açık kaynak yazılımlardaki güvenlik düzeltmelerini geleneksel yazılım yükseltme süreçlerinden ayırmayı amaçlıyor. Buna göre kullanımda olan belirli yazılım sürümleri için doğrudan güvenlik yamaları geliştirilecek, test edilecek ve mevcut üretim ortamlarına uygulanacak. Bu yaklaşım, kurumların kritik bir güvenlik açığını kapatmak için yazılımın yeni bir sürümüne geçmek zorunda kalmasını önleyebilir. Bununla birlikte yamaların mevcut sistemlerle uyumluluğu ve operasyonel etkileri, her kurumun altyapısına göre ayrıca değerlendirilmek zorunda olacak.
IBM ve Red Hat, yamaların geliştirilmesi ve doğrulanmasında görev alırken açık kaynak projelerini yöneten bağımsız geliştiricilerle güvenlik açıklarının açıklanması konusunda koordinasyon sağlayacak.
Sürekli tarama ve önceliklendirme
Üç şirketin açıkladığı modele göre kurumların sahip olduğu yazılım bileşenleri ve bu bileşenlerin nerelerde kullanıldığı sürekli olarak haritalandırılacak. Tescilli kodlar, açık kaynak paketleri ve üçüncü taraf yazılımlar bu kapsamda taranacak. Tespit edilen güvenlik açıkları yalnızca önem derecelerine göre değil, sistemin internete açık olup olmadığı, açığın istismar edilme ihtimali ve kritik iş süreçlerine etkisi gibi ölçütlere göre önceliklendirilecek.
Doğrulanan yamaların test edilmesi ve üretim ortamlarına dağıtılması için IBM ve Red Hat'in otomatik yama doğrulama sistemleri ile Deloitte'un operasyon ve koordinasyon hizmetleri kullanılacak. Deloitte ayrıca müşteri sistemlerinin bakımı ve güvenlik iyileştirmelerini desteklemek üzere sahada görev yapan mühendislerden oluşan ekipler bulunduracağını belirtiyor.
Denetim ve mevzuata uyum raporlaması
İş birliğinin bir diğer ayağını denetim ve mevzuata uyum süreçleri oluşturuyor. Kurumlara uygulanan yamalar, tespit edilen güvenlik açıkları ve alınan önlemlerle ilgili kanıta dayalı raporlar hazırlanması planlanıyor. Bu raporların şirket yönetimleri, denetçiler ve düzenleyici kurumlar tarafından kullanılabilmesi hedefleniyor. Sistem ayrıca henüz kamuya açıklanmamış güvenlik açıklarıyla ilgili geliştirici ve yazılım sağlayıcıları arasındaki koordinasyonu da kapsayacak.
Neden önemli
Lightwell, açık kaynak güvenliğinde sıkça karşılaşılan bir sorunu hedefliyor: Kurumların kritik bir güvenlik açığını kapatmak için tüm yazılım sürümünü yükseltmek zorunda kalması. Sürümden bağımsız yama yaklaşımı, özellikle eski veya özelleştirilmiş sistemlerde güvenlik açıklarının kapatılma hızını artırabilir. Ancak bu yamaların farklı kurumsal ortamlarda test edilmesi ve uyumluluğun sağlanması kritik bir zorluk olarak kalıyor. Deloitte'un sahada görev yapan mühendis ekipleri bu noktada operasyonel destek sağlayacak. Ayrıca, mevzuata uyum raporlamasının sürece entegre edilmesi, düzenleyici kurumların denetim taleplerini karşılamak isteyen şirketler için önemli bir avantaj oluşturabilir.
Deloitte ABD Siber Lideri Adnan Amjad, manuel yama süreçlerinin giderek hızlanan siber saldırılar karşısında yetersiz kalabildiğini belirtti. IBM Servis Ortakları Başkan Yardımcısı Savio Rodrigues ise Lightwell'in yapay zekâ destekli tehdit ortamında açık kaynak yazılımların güvenliğini ölçekli biçimde ele almak üzere geliştirildiğini ifade etti. Red Hat Küresel Ortak Ekosistemi Başkan Yardımcısı Kevin Kennedy de iş birliğiyle güvenlik düzeltmelerinin doğrudan kurumsal uygulama ortamlarına taşınacağını söyledi.
Lightwell girişiminin başarısı; kurumların yazılım envanterlerinin doğru biçimde çıkarılmasına, yamaların farklı sistemlerde güvenilir şekilde test edilmesine ve açık kaynak proje yöneticileriyle kurulacak koordinasyona bağlı olacak.