Yazılım geliştirici Volkan Öztürk, Log4j için “Log4j, Apache Software Foundation ın geliştirmiş olduğu bir loglama kütüphanesidir. (logging framework)” tanımlamasını yapıyor. Google’da ilk kapsamlı sonuç olarak karşınıza çıkan bu ifade üzerinden uzun bir tanımlama yapmak mümkün.
Benim açımdan, açık kaynaklı yazılımın ilk konuşulmaya başlandığı döneme ait bir altyapı bugün riske açık hale gelmiş durumda. Buna devam edeceğim ancak, Tech Inside olarak bizim için Log4j, şimdiden Türkiye’de en az 20 şirketi etkilemiş olan bir açık. Siber güvenlik dünyasının duayenlerinden Trend Micro Türkiye Genel Müdürü Hasan Gültekin, şirket adı vermemekle birlikte 22 Aralık itibariyle rakamı bu şekilde telaffuz ediyor.
Açık kaynaklı yazılımın büyük dönüşümü
Sorunun büyüklüğü ve çözülmesi konusunda zaten çok şey yazıldı ve yazılıyor. Bizim için önemli olan, açık kaynaklı yazılım ekosistemindeki gelişim ve bu tür sorunların yinelenmemesi için neler yapılması gerektiği.
Açık kaynaklı yazılım tartışması ilk ortaya çıktığında, bu seçenek, lisanslı yazılım karşısında mucizeler yaratacak bir unsur olarak görülüyordu. “Free software” daha fazla kullanılan bir terimdi ancak bunun “özgür yazılım” mı yoksa “ücretsiz yazılım” mı anlamına geldiğini anlamıyorduk.
Bugünün Log4j sorunu, o zamanlar DNS sunucularının güvenliği sorunu olarak karşımıza çıkıyordu. İnternetin özgürlüğü taviz verilemeyecek bir konuydu ancak bu DNS sunucularının bakımı ve güvenliğinin sağlanması için bütçe ve sorumluluk konusunu ortada bırakıyordu.
Bu sunucular, basitçe anlatmak gerekirse, sizin www.birseyler.com diye yazdığınız adı, bu adın adresi olan xxx.yyy.zz.aa bilgisine çeviriyor ve sizi oraya ulaştırıyordu. Bu sisteme zeval gelmesinin sonucu, adres bilgilerinin bozulması, kaybolması ya da tümüyle ortadan kalkması olacaktı. Bugün akıllı telefonunuzdaki rehberde bir ismituşladığınızda telefonun başka birini aradığını düşünün. Bunu istemezsiniz.
Bugün Log4j ile yaşanan sorun, bunun biraz güncellenmiş hali ama çok farklı değil. Yine vakıf mantığı ile, ücretsiz bir modelle soruna çözüm aranması da çok farklı değil. Tek fark, aradan geçen sürede açık kaynaklı yazılım konusunda farklı bir iş modelinin ortaya çıkmış olması. Red Hat adının çok açıklayıcı hale getirdiği bu model, yazılımın ücretsiz servisin ücretli olması şeklinde özetlenebilir.
Başlangıçta IBM açık kaynaklı yazılım yani Linux’u yaygınlaştırmak için ciddi miktarda para yakarken bu yazılımı donanım ile birleştiren HP (bugünkü HPE) gelir elde eden taraf oldu. Zamanla kodu açık tutup servis kalitesi ile para kazanan Red Hat, bütün oyunu değiştirdi.
IBM, Temmuz 2019’da tamamladığı Red Hat satın almasında bir yandan 34 milyar dolar gibi yazılım dünyası için rekor bir bedel ödeyerek diğer yandan da Red Hat’in yönetimine ve iş modeline dokunmayarak bu yaklaşımı tescil etti. Red Hat Türkiye Genel Müdürü Haluk Tekin, bütün yazılımların açık kaynaklı olamayacağını belirterek bu dünyanın ezbere yol alınabilecek bir yer olmadığına işaret ediyor.
Bugünden geriye bakarsak DNS sunucularının kaybedilmediğini söyleyebiliriz, yoksa interneti kullanamazdık. Bugünkü Log4j sorunu da bir biçimde çözülecektir.
Kendimizi gelecekte daha karmaşıklaşan alan adları ve metaverse ile birlikte oluşan yeni dijital dünyada daha sağlam ya da İngilizcesiyle resilient bir sistemi nasıl kurabileceğimizi düşünmemiz gerekiyor. Biz Tech Inside’da bu tür konuları ele alıyor olacağız.