Günümüz şartlarında hazırlanan yazılım projelerinde riskler içermesine rağmen third party yazılımlar kullanılmaktadır. Third party yazılım ürün ve hizmetleri, yazılım projelerinin ayrılmaz bir parçasıdır.
Ücretsiz açık kaynak kodlu yazılımlar geliştiricilerin işlerini kolaylaştırmaktadır ancak açık kaynak kodlu yazılımların açıkları kötü niyetli kişiler tarafından tespit edildiği zaman etkilenen kullanıcı sayısı yazılımı kullanan uygulama sayısı ile doğru orantılıdır.
Third party yazılımlar yüzünden firmanın depoladığı kişisel veriler çalınabilir, firma itibar kaybına uğrayabilir ya da firma müşterilerini kaybedebilir. Bu ve buna benzer sonuçlardan kaçınmak için kullanılan yazılımların risklerini azaltmak gerekir. Riskleri azaltmak için, risklerin tespit edilmesi ve önlemlerin alınması önemlidir.
Third Party Yazılım Nedir?
Third party yazılım demek hazırlanan yazılım projesinin içerisinde yer alan bazı modülleri ve altyapı için kullanılan parçaların dışarıdan yani şirket dışından temin edilmesi anlamına gelir. Bir proje geliştirme aşamasında alt yapıdan daha çok kullanıcı ara yüzleri ve süreçler üzerine çalışma yapılır. Alt yapıda ve ara yüzlerde çeşitli dış kaynaklı third party yazılımlar kullanılır. Açık kaynak kodlu framework yani kütüphanelerin bu kadar yoğun geliştirilmesi ve kullanılmasının da sebebi budur.
Third Party Yazılım Avantajları
İhtiyaç duyulan third party yazılım, konu üzerinde uzmanlaşmış kişiler tarafından paket haline getirilmiş ve ürünlerdir. Ürünleşmiş bir yazılım parçasını kullanmak proje maliyetini ve süresini düşürür.
Yazılım projesi geliştirme aşamasına geçmeden önce, hangi yazılım dilinin kullanılacağına karar vermek gerekir. Seçilen yazılım dili sonrasında ise hangi framework sorusu gelir. Kullanılacak olan framework de bir third party yazılım olarak geçer. Kullanılan frameworkler üzerinde formların gönderilmesi için altyapı, web tabanlı güvenlik paketleri, takım halinde proje geliştirmeye imkân tanıyan tanımlamalar gibi temel içerikler ile beraber kullanıma izin verir.
Her hazırlanan projenin rakibi vardır, projelerin rakiplerden ayrılabilmesi için farklı programsal farklılıkların olması gerekir. Projenin geliştiricileri third party yazılımlar sayesinde geliştirmeleri gereken, rakipler ile yarışacak olan özellikleri geliştirebilecek zamanı ayırabilirler.
Third Party Yazılım Dezavantajları
Kullanılan third party yazılım ne kadar çok kişi tarafından kullanılırsa güvenlik risklerini bir o kadar artırır. Çünkü çok kişi tarafından kullanılan bir yazılımın açıkları kötü niyetli kişiler tarafından daha hızlı tespit edilir.
Yakın zamanda Click2gov adlı online ödeme sistemi içerisine yerleştirilmiş olan malware yüzünden Amerikan vatandaşlarının kredi kartı bilgileri çalındı.
Kullanılan yazılımın detaylı araştırılması gerekir. Yazılımı hazırlayan firmanın destek yönetimi ya da ne kadar sıklıkla güncelleme çıkıyor önceden bilinmesi gerekir. Çıkan güncellemeler yazılımın açıklarını ve hatalarını giderir bu sebepten bu güncellemelerin kolay ve hızlı bir şekilde projeye entegre edilebilmesi projenin bu entegrasyona uygun tasarlanması gerekmektedir.
Third party yazılımı kullanmadan önce dokümanları okunmalıdır. İhtiyacı karşılamalı ve aşırı karmaşık bir yapısının olup olmadığı araştırılmalıdır çünkü karmaşık yapıya sahip bir yazılımın entegre edilmesi için ekstradan bir iş gücü gerekir bu da projenin ilerlemesinde zaman kaybına sebep olabilir.
Third Party Yazılımların Güvenlik Riskleri
Third Party, yazılımın oluşturulduğu şirkete ait çalışanlar tarafından yazılmamış herhangi bir program veya uygulamadır. Şirketler, e-posta yönetimi, VPN bağlantıları ve satış yönetimi gibi şirket içinde geliştirilmiş olmayan birçok uygulama kullanır. Firma bünyesinde geliştirilen uygulamalar bile büyük ölçüde üçüncü taraf kodlara dayanır.
Proje hazırlığı sırasında yazılım diline karar verdikten sonra sıra hangi kütüphanelerin kullanılacağına karar vermeye gelir. Piyasada pek çok third party yazılım mevcuttur, kullanılacak bu yazılımların güvenlik risklerinin ve açıklarının tespit edilmesi gerekir. Ardından hazırlanan projenin bu risklerden etkilenip etkilenmeyeceği konusunda araştırma yapılmalıdır. Pek çok firma National Vulnerability Database (NVD)’yi açıkların tespitinde referans noktası olarak almaktadır. Her açık bu (NVD) listeye girmemektedir, açıkların tespiti için farklı yollar da bulmalısınız.
Açık Kaynak Kodlu Yazılımlarda Güvenlik Riskleri
Açık kaynak kitaplıkların kullanılması, işletme için asıl güvenlik tehdidi değildir. Asıl sorun, kullandığınız yazılımın hangi güvenlik açıkları içerdiğini ve uygulamanızın bu açıklardan nasıl etkileneceğini bilmektir.
Son yıllarda geliştirilen uygulamaların %90’ı açık kaynak kodlu yazılımlar içermektedir. Projelerin teslim süreleri kısaldıkça yazılım geliştiren ekipler açık kaynak kodlu yazılımlar kullanmak zorunda kalmaktadır. Her uygulama benzer özellikler barındırmaktadır. Kullanıcı girişi, şifre sıfırlama, dosya yükleme gibi özelliklerin her uygulamada olması beklenir.
Çeşitli zaaflardan dolayı firmanın hassas bilgileri çalınabilir, müşteri ilişkileri zarar görebilir, kritik sistemler çökebilir ve firma belli bir süre çalışamaz hale gelebilir.
Açık kaynak kodlu yazılımlar ile geliştirilen uygulamaların belli güvenlik politikaları belirlemeleri gerekmektedir.
Third Party Yazılımlar ile İlgili Hangi Önlemler Alınmalı?
Risklerin tanımlanması gerekir. İş kapsamına bağlı olarak, third party yazılımlarının ve hizmetlerinin çeşitli sistemlere, kaynaklara, ağ cihazlarına, uygulamalara ve verilere (depolanmış veya transit olarak) erişmesine izin verilir. Erişime eşlik eden potansiyel riskler de bu kaynaklara erişmiş olur. Tüm third party yazılım hizmetlerinin giriş ve çıkış noktaları analiz edilmelidir. Sızma testi ve kaynak kodu analizi yaparak third party yazılımlar için riskleri sınıflandırılmalıdır.
Tanımlanan riskler öncelik sırasına göre değerlendirilmelidir. Bu adım, riskleri zaman ve maliyet etkin bir şekilde planlanması ile mümkün olur. Her bir güvenlik riskinin (işletmeye olan etkisine dayanarak) değerlendirilmesi hesaplanmazsa, risk yönetimi programı başarılı olamaz.
Sonuç
Açık kaynak kodlu yazılımlar ya da third party yazılımlar kullanırken güvenlik risklerinin belirlenmesi kritik bir önem arz eder. Kapsam içerisinde bunların kullanımını bırakmak maliyet açısından mümkün gözükmemektedir. Kullanım durumunda riskler belirlenmeli ve gerekli önlemler alınmalıdır.,
Kaynak:
- https://www.quora.com/What-are-the-advantages-disadvantages-of-leveraging-third-party-software-in-your-proprietary-application
- https://www.nickelled.com/blog/5-advantages-of-using-3rd-party-software/
- https://www.veracode.com/sites/default/files/pdf/resources/ipapers/everything-you-need-to-know-open-source-risk/index.html
- https://www.grahamcluley.com/websites-usa-cities-card-skimming/
- https://www.veracode.com/security/what-is-third-party-software-security
- https://www.veracode.com/open-source-risk
- https://www.synopsys.com/blogs/software-security/mitigate-third-party-security-risks/
- https://www.appknox.com/blog/third-party-apps-foolproof-security-tips
trycteach 