İtibarından daha iyi: Alman şirketleri neden açık kaynak yazılımın BT güvenlik avantajlarını hafife alıyor? Bitkom'un Açık Kaynak Monitörü 2021, güvenlik sorularına önemli yanıtlar veriyor.
Açık kaynak yazılım (OSS) Alman ekonomisinde kendine yer buldu: Bitkom Open Source Monitor 2021'e göre yaklaşık on şirketten yedisi, temel kaynak kodu halka açık olan uygulamaları kullanıyor. Anket katılımcıları birçok farklı avantajı takdir ediyor, ancak yine de BT güvenliği konusuna eleştirel bir bakış açısı getiriyor. Katılımcılar, uzmanlaşmış OSS uzmanlarının eksikliğinin açık kaynak çözümlerinin önemli bir dezavantajı olduğu konusunda hemfikirdir. Anket sonuçları, açık kaynak yazılım satıcıları tarafından sağlanan tavsiye, eğitim ve hizmetlerin çözümlerin faydalarını gerçekleştirmede ne kadar önemli olabileceğini göstermektedir.
Maliyet tasarrufu için popüler olan açık kaynaklı yazılım
Maliyet tasarrufu (yüzde 24) ve kaynak koduna erişim (yüzde 14) OSS'nin avantajları olarak en sık dile getirildi. Bu fenomen hiçbir şekilde maliyete duyarlı küçük işletmelere ve ücretsiz ofis paketlerinin kullanımına odaklanmıyor. Aksine: ÖSS kullananların oranı, 87'den fazla çalışanı olan şirketin büyüklüğüne bağlı olarak yüzde 2.000'ye yükseldi.
Diğer şeylerin yanı sıra, şirketler hem veritabanı programlarını hem de yazı veya grafik uygulamalarını ve ayrıca web servislerini ve sunucu işletim sistemlerini kullanır. İkincisi, güvenlik olayları için bir ağ geçidi, yani bir zayıf nokta haline gelmemek için özellikle zorlu BT güvenlik standartlarını karşılamalıdır. Bununla birlikte, ankete katılanların yalnızca yüzde yedisi, zamanında yapılan güncellemeler yoluyla sağlanan yüksek düzeyde güvenliğin OSS'nin bir avantajı olduğunu düşünüyor. BT güvenliği kategorisinde, yazılımın kararlılığı ve düşük hata oranı sadece yüzde iki ile ikinci sırada yer aldı.
Topluluk, kalıcı bir kod test aracıdır
Bu, açık kaynak konusuna ve BT güvenliğine aktif olarak dahil olan uzmanlar için sürpriz olabilir. Çünkü yazılımın güvenliği ve açık kaynak kodu birçok açıdan yakından bağlantılıdır. Kodu herkes tarafından görülebilen popüler çözümler, etraflarındaki farklı alanlardan aktif bir kullanıcı ve geliştirici topluluğu toplar. Kaynak kodu kontrolüne farklı ilgi alanları ve dolayısıyla bakış açıları getiriyorlar: bazıları yazılımın nasıl çalıştığını bilmek istiyor, diğerleri hobi olarak aktif olarak zayıf noktaları araştırıyor veya uygulamayı bireysel ihtiyaçlara uyarlamak istiyor.
Güvenlik açıkları, arka kapılar veya istenmeyen veri değerlendirmeleri olup olmadığına bakılmaksızın güvenlikle ilgili kod satırları hızla fark edilir. Topluluk, hataların, uygulama sorunlarının ve hatta potansiyel güvenlik risklerinin hızlı bir şekilde değiş tokuş edilmesini sağlar ve böylece bir yamanın dağıtımını hızlandırır. Aynı zamanda, bir yazılımda işlevleri gizlemek zordur, dolayısıyla çalışma şekli çok şeffaftır.
PKI yazılımı EJBCA – en iyi durum olarak açık kaynak
Kaynak kodu herkesin erişimine açık olmayan uygulamalar için şirketler, sağlayıcıların BT güvenliğini mümkün olan en iyi şekilde uyguladığına ve örneğin herhangi bir istenmeyen izleme işlevini entegre etmediğine güvenmelidir. Açık kaynak, şirket içi uzmanlar ve bağımsız topluluk üyeleri tarafından incelemeye izin verir.
Ortak anahtar altyapısı (PKI) yazılımı EJBCA örneği, bunun BT güvenliğinde ne kadar kapsamlı olabileceğini gösteriyor. Bu bir OSS olarak mevcuttur ve son cihazların ve kullanıcıların kimliklerini belirlemek için kriptografik sertifikalar vermek üzere Sertifika Yetkilisi (CA), Kayıt Yetkilisi (RA) ve Doğrulama Yetkilisi (VA) gibi bir PKI'nın uygulanması için gerekli tüm bileşenleri içerir.
Dijital kimlikler ve uygulamaları, veri ve bilgi güvenliğinin temel yapı taşları arasındadır. Verici altyapıya duyulan güven, bireysel yazılım bileşenlerine duyulan güven kadar güçlü olabilir. Kaynak kodunu analiz eden ve genişleten küresel ve aktif bir EJBCA topluluğu olduğundan, CA'nın neler yapabileceği ve nasıl çalıştığı konusunda çok iyi bir bilgi birikimi vardır. Bu nedenle, uygulamayı kendi PKI'larına entegre eden şirketler, kendilerine verilen sözlerin tutulacağına dair ek güvence elde eder.
OSS sağlayıcıları ve beceri eksikliği
Açık kaynak yazılımın bir dezavantajı olarak, başlangıçta bahsedilen çalışmada ankete katılanların yüzde 88'i OSS için uzman eksikliğini dile getirdi. Popüler uygulamalar için şirketler, yazılıma ek olarak danışmanlık, eğitim, uygulama ve bakım hizmetleri sağlayabilen PrimeKey ve ortakları gibi uzman sağlayıcılardan yardım alabilir. Sonuç olarak, kendi bilgileri olmayan kuruluşlar, kaynak kodunda ayarlamalar gerektiren özel uygulama senaryoları uygulayabilirken, topluluk bir kontrol yetkilisi olarak onlara açık olmaya devam eder.
Primekey.com'da daha fazlası
PrimeKey Hakkında
PrimeKey, dünyanın önde gelen PKI çözümleri sağlayıcılarından biridir ve bir dizi yenilikçi ürün geliştirmiştir. Bunlar arasında EJBCA Enterprise, SignServer Enterprise, EJBCA Appliance, PrimeKey SEE ve Identity Authority Manager yer alır. BT güvenliği için açık kaynaklı yazılım alanında öncü olan PrimeKey, şirketlere ve kurumlara e-kimlik, biyometrik pasaportlar, kimlik doğrulama, dijital imzalar ve tek tip dijital kimlikler ve doğrulama gibi temel güvenlik çözümlerini uygulamalarına yardımcı olur.