Güvenlik firması Endor Labs CEO’su Varun Badhwar, açık kaynaklı yazılım paketlerinin yaygınlaşmasına atıfta bulunarak “Sayılar, kurumsal bir ortamda kodunuzun yüzde 80 ila 90’ından belki de yüzde 95, 98, 99’una kadarının temelde güvenilmeyen, doğrulanmamış kaynaklardan yazılmış olacağını söyledi. Yazılım tedarik zinciri, siber güvenlik ve siber saldırıların gelecekteki yeni alanı olacak.” dedi.
Badhwar, bu tür sorunların üstesinden gelmenin iyi belgeler gerektireceğini; bunun güvenilir yazılım malzeme listeleri ve açık kaynak kütüphanelerinin daha iyi incelenmesini içerdiğini söyledi.
Kurucusu olduğu Endor Labs, SSC yönetim otomasyon ürünleri satan Badhwar, doğal olarak otomasyonun daha iyi yazılım tedarik zinciri yönetimi için çözüm olduğuna inanıyor ancak yine de iyi yazılımın tek çözüm olmadığını söyledi.
Badhwar, “Kötü amaçlı kod, güvenlik açığı veritabanınızda bir CVE veya bilinen bir güvenlik açığı olarak ortaya çıkmıyor.” diye ekledi. Peki bir işletmenin ne yapması gerekir? Badhwar, “Geriye dönüp açık kaynak etrafındaki en büyük risklere bakarak tüm kuruluşunuzu yeniden yapılandırmanız gerekiyor.” tavsiyesinde bulunuyor.
Ancak yazılım tedarik zinciri saldırılarından kendimizi daha iyi korumak için yapılması gerekenlerin sadece bu olduğunu düşünmeyin; henüz istikrarlı bir yazılım tedarik zinciri aşamasında değiliz.
Endor Labs CEO’su Badhwar, “Beyzbol benzetmesinde muhtemelen birinci veya ikinci vuruştayız ve daha gidecek çok yolumuz var.” diyor. Bütün bu karışıklığı kontrol altına almamız on yıl kadar uzun sürebilir.