{"id":13485,"date":"2025-06-25T15:35:01","date_gmt":"2025-06-25T12:35:01","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=13485"},"modified":"2025-06-25T15:35:01","modified_gmt":"2025-06-25T12:35:01","slug":"can-you-support-open-source-preliminary-assessment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/can-you-support-open-source-preliminary-assessment\/13485\/","title":{"rendered":"Kurulu\u015funuz i\u00e7in a\u00e7\u0131k kaynakl\u0131 \u00e7\u00f6z\u00fcmleri nas\u0131l se\u00e7ebilirsiniz?"},"content":{"rendered":"

2025 State of Open Source raporuna<\/a> g\u00f6re, ankete kat\u0131lan \u015firketlerin %96\u2019s\u0131; geni\u015f se\u00e7kisi, \u00f6zelle\u015ftirme se\u00e7enekleri ve s\u0131f\u0131r lisanslama maliyetleri ile olduk\u00e7a cazip olan a\u00e7\u0131k kaynakl\u0131 uygulamalar kullan\u0131yor. Bununla birlikte, ankete kat\u0131lan firmalar\u0131n yar\u0131s\u0131ndan fazlas\u0131 a\u00e7\u0131k kaynakl\u0131 uygulamalar\u0131n s\u00fcrekli bak\u0131m\u0131 konusunda \u00f6nemli zorluklarla kar\u015f\u0131la\u015f\u0131yor. \u015ea\u015f\u0131rt\u0131c\u0131 bir \u015fekilde %63\u2019\u00fc \u00e7\u00f6z\u00fcmleri g\u00fcncel tutmakta ve yamalar\u0131 uygulamakta zorlan\u0131yor. Hemen arkas\u0131ndan siber g\u00fcvenlik, mevzuata uygunluk ve art\u0131k desteklenmedikleri anlam\u0131na gelen kullan\u0131m \u00f6mr\u00fc dolmu\u015f (EoL) a\u00e7\u0131k kaynakl\u0131 uygulamalar\u0131n varl\u0131\u011f\u0131 ile ilgili sorunlar geliyor. Peki, bu sorunlar\u0131n ortaya \u00e7\u0131kma olas\u0131l\u0131\u011f\u0131n\u0131 nas\u0131l en aza indirebilirsiniz ve uygulama i\u00e7in a\u00e7\u0131k kaynakl\u0131 yaz\u0131l\u0131mlar (OSS) se\u00e7erken nelere dikkat etmelisiniz?<\/p>\n

G\u00fcncellemeler ve yamalar<\/h2>\n

A\u00e7\u0131k kaynakl\u0131 yaz\u0131l\u0131mlar\u0131n zaman\u0131nda g\u00fcncellenmesi en yayg\u0131n sorun oldu\u011fundan, benimsenecek potansiyel a\u00e7\u0131k kaynakl\u0131 yaz\u0131l\u0131m adaylar\u0131n\u0131 bu a\u00e7\u0131dan \u00e7ok dikkatli bir \u015fekilde inceleyin. G\u00fcncellemelerin s\u0131kl\u0131\u011f\u0131n\u0131, kapsam\u0131n\u0131 ve i\u00e7eri\u011fini do\u011frudan uygulaman\u0131n genel havuzundan kontrol etmek kolayd\u0131r. G\u00fcncellemelerin ne kadar iyi belgelendirildi\u011fine, ne t\u00fcr sorunlar\u0131 \u00e7\u00f6zd\u00fc\u011f\u00fcne, hangi yeni \u00f6zellikleri ekledi\u011fine, k\u00fc\u00e7\u00fck d\u00fczeltmelerin ana s\u00fcr\u00fcmden sonraki g\u00fcnlerde veya haftalarda ne s\u0131kl\u0131kla yay\u0131nland\u0131\u011f\u0131na ve hatalarla ilgili taleplerin ne kadar h\u0131zl\u0131 sonu\u00e7land\u0131r\u0131ld\u0131\u011f\u0131na dikkat edin.<\/p>\n

Git Insights<\/a> gibi standart ara\u00e7lar\u0131n yan\u0131 s\u0131ra Is it maintained?<\/a>, Repology<\/a> ve Libraries.io<\/a> gibi tamamlay\u0131c\u0131 hizmetler de bu sorular\u0131n yan\u0131tlanmas\u0131na yard\u0131mc\u0131 olabilir. Libraries.io, ge\u00e7erli s\u00fcr\u00fcm\u00fcn hangi eski ba\u011f\u0131ml\u0131l\u0131klar\u0131 kulland\u0131\u011f\u0131n\u0131 hemen g\u00f6sterir.<\/p>\n

G\u00fcvenlikle ilgili g\u00fcncellemelere \u00f6zellikle dikkat edin. Bunlar ayr\u0131 olarak m\u0131 yay\u0131nlan\u0131yor yoksa i\u015flevsellik g\u00fcncellemeleriyle birlikte mi veriliyor? Genellikle geli\u015ftiriciler ikinci yolu se\u00e7erler. Bu durumda, g\u00fcvenlik g\u00fcncellemelerinin yay\u0131nlanmak i\u00e7in ne kadar s\u00fcredir bekliyor olabilece\u011fini anlaman\u0131z gerekir.<\/p>\n

Ayr\u0131ca, g\u00fcncellemeleri y\u00fckleme s\u00fcrecinin ne kadar karma\u015f\u0131k oldu\u011funu da g\u00f6z \u00f6n\u00fcnde bulundurun. Resmi dok\u00fcmantasyon ve destek bir ba\u015flang\u0131\u00e7 noktas\u0131 olabilir, ancak yeterli de\u011fildir. Kullan\u0131c\u0131 toplulu\u011fu geri bildirimlerini kapsaml\u0131 bir \u015fekilde incelemek muhtemelen burada daha yararl\u0131 olacakt\u0131r.<\/p>\n

T\u00fcm bunlar, \u00fcr\u00fcn\u00fcn bak\u0131m\u0131 i\u00e7in ne kadar \u00e7aba harcayaca\u011f\u0131n\u0131z\u0131 anlaman\u0131za yard\u0131mc\u0131 olacakt\u0131r. Destek i\u00e7in i\u00e7 kaynaklar\u0131 kullanman\u0131z gerekecektir. Sadece sorumluluk vermek yeterli de\u011fildir; bu ve ilgili g\u00f6revler i\u00e7in \u00f6zel \u00e7al\u0131\u015fma saatleri gerekecektir.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131<\/h2>\n

Siber g\u00fcvenlik sorunlar\u0131yla ne s\u0131kl\u0131kta kar\u015f\u0131la\u015faca\u011f\u0131n\u0131z\u0131 do\u011fru bir \u015fekilde tahmin etmek i\u00e7in, \u00fcr\u00fcn\u00fcn m\u00fchendislik k\u00fclt\u00fcr\u00fcn\u00fc ve siber g\u00fcvenlik hijyenini en ba\u015f\u0131ndan itibaren de\u011ferlendirmek en iyisidir. Bu yo\u011fun emek gerektirse de, ba\u015flang\u0131\u00e7ta \u00fcst d\u00fczey bir analiz ger\u00e7ekle\u015ftirmek i\u00e7in otomatik ara\u00e7lar kullanabilirsiniz.<\/p>\n

Pop\u00fcler \u00fcr\u00fcnler ve paketler i\u00e7in, OpenSSF Scorecard<\/a> gibi ara\u00e7lar\u0131n mevcut sezgisel de\u011ferlendirme sonu\u00e7lar\u0131n\u0131 kontrol etmek iyi bir yakla\u015f\u0131md\u0131r; yamanmam\u0131\u015f g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n say\u0131s\u0131 ve g\u00fcvenlik ilkelerinin varl\u0131\u011f\u0131ndan bulan\u0131kla\u015ft\u0131rma testleri ve ba\u011f\u0131ml\u0131l\u0131k sabitleme kullan\u0131m\u0131na kadar \u00e7e\u015fitli siber g\u00fcvenlik hijyeni verileri sa\u011flar.<\/p>\n

Buna ek olarak, projede ka\u00e7 a\u00e7\u0131k ke\u015ffedildi\u011fini, bunlar\u0131n ne kadar kritik oldu\u011funu ve ne kadar h\u0131zl\u0131 d\u00fczeltildi\u011fini anlamak i\u00e7in NVD<\/a> ve GitHub tavsiyeleri<\/a> gibi halka a\u00e7\u0131k g\u00fcvenlik a\u00e7\u0131\u011f\u0131 veri tabanlar\u0131n\u0131 inceleyin. \u00c7ok say\u0131da g\u00fcvenlik a\u00e7\u0131\u011f\u0131, kendi ba\u015f\u0131na k\u00f6t\u00fc geli\u015ftirme uygulamalar\u0131ndan ziyade projenin pop\u00fclerli\u011fine i\u015faret edebilir. Ancak as\u0131l \u00f6nemli olan, kusur t\u00fcrleri ve geli\u015ftiricilerin bunlara nas\u0131l yan\u0131t verdi\u011fidir.<\/p>\n

Ba\u011f\u0131ml\u0131l\u0131klar ve tedarik zinciri<\/h2>\n

Neredeyse her a\u00e7\u0131k kaynakl\u0131 yaz\u0131l\u0131m projesi, genellikle belgelenmemi\u015f olan \u00fc\u00e7\u00fcnc\u00fc taraf a\u00e7\u0131k kaynak bile\u015fenlerine dayan\u0131r. Bu bile\u015fenler kendi programlar\u0131na g\u00f6re g\u00fcncellenir ve hatalar, g\u00fcvenlik a\u00e7\u0131klar\u0131, hatta k\u00f6t\u00fc ama\u00e7l\u0131 kod i\u00e7erebilirler. Buradaki kilit soru, yamal\u0131 bile\u015fen g\u00fcncellemelerinin d\u00fc\u015f\u00fcnd\u00fc\u011f\u00fcn\u00fcz projeye ne kadar h\u0131zl\u0131 girdi\u011fidir.<\/p>\n

Bunu de\u011ferlendirmek i\u00e7in SBOM (yaz\u0131l\u0131m materyalleri listesi) veya SCA (yaz\u0131l\u0131m kompozisyon analizi) ara\u00e7lar\u0131na ihtiyac\u0131n\u0131z olacakt\u0131r. OWASP Dependency-Check<\/a> veya Syft<\/a> gibi mevcut a\u00e7\u0131k kaynak \u00e7\u00f6z\u00fcmleri bir projenin ba\u011f\u0131ml\u0131l\u0131k a\u011fac\u0131n\u0131 olu\u015fturabilir, ancak bunlar genellikle halihaz\u0131rda \u00e7al\u0131\u015fmakta olan, kendi havuzlar\u0131n\u0131zda veya kapsay\u0131c\u0131 g\u00f6r\u00fcnt\u00fclerinde konu\u015fland\u0131r\u0131lm\u0131\u015f projeler i\u00e7in tasarlanm\u0131\u015ft\u0131r. Bu nedenle, ba\u011f\u0131ml\u0131l\u0131k analizine derinlemesine bir bak\u0131\u015f, en iyi \u015fekilde \u00f6n de\u011ferlendirmeyi ge\u00e7mi\u015f ve altyap\u0131n\u0131zda yer almaya ciddi bir aday olan bir \u00fcr\u00fcn \u00fczerinde ger\u00e7ekle\u015ftirilir.<\/p>\n

G\u00fcvenilir ve iyi incelenmi\u015f havuzlardan sa\u011flan\u0131p sa\u011flanmad\u0131klar\u0131n\u0131, pop\u00fcler olup olmad\u0131klar\u0131n\u0131 ve dijital imzalar\u0131 olup olmad\u0131\u011f\u0131n\u0131 belirlemek i\u00e7in ba\u011f\u0131ml\u0131l\u0131k listesini iyice inceleyin. Esasen, burada s\u00f6z konusu riskleri de\u011ferlendirmi\u015f olursunuz.<\/p>\n

Teorik olarak ba\u011f\u0131ml\u0131l\u0131klardaki zay\u0131fl\u0131klar\u0131 manuel olarak kontrol edebilseniz de, bir a\u00e7\u0131k kaynakl\u0131 yaz\u0131l\u0131m projesi zaten bir test ortam\u0131nda da\u011f\u0131t\u0131lm\u0131\u015fsa, Grype<\/a> gibi ara\u00e7lar\u0131 kullanmak \u00e7ok daha kolayd\u0131r.<\/p>\n

B\u00fcy\u00fck bir gizli zorluk, g\u00fcncellemeleri izlemektir. Teorik olarak, bir proje i\u00e7in her ba\u011f\u0131ml\u0131l\u0131k g\u00fcncellemesinin yeniden kontrol edilmesi gerekir. Pratikte bu sadece otomatik taray\u0131c\u0131larla m\u00fcmk\u00fcnd\u00fcr; di\u011fer yakla\u015f\u0131mlar \u00e7ok pahal\u0131d\u0131r.<\/p>\n

Bir proje eski ba\u011f\u0131ml\u0131l\u0131klar\u0131 kullan\u0131yorsa ve genellikle siber g\u00fcvenlik a\u00e7\u0131s\u0131ndan ideal de\u011filse, bir alternatif aramak kesinlikle daha iyidir. Peki ya i\u015fletme temel i\u015flevselli\u011fi nedeniyle belirli bir \u00e7\u00f6z\u00fcmde \u0131srar ediyorsa? Cevap her zamanki gibi ayn\u0131d\u0131r: Daha derin bir risk analizi yapmak, d\u00fczeltici kontroller geli\u015ftirmek ve en \u00f6nemlisi s\u00fcrekli bak\u0131m i\u00e7in \u00f6nemli kaynaklar ay\u0131rmak. \u0130\u00e7 kaynaklar genellikle yetersizdir, bu nedenle s\u00f6z konusu \u00fcr\u00fcn i\u00e7in profesyonel teknik destek se\u00e7eneklerini ba\u015flang\u0131\u00e7tan itibaren de\u011ferlendirmek ak\u0131ll\u0131ca olacakt\u0131r.<\/p>\n

Dahili ve d\u00fczenleyici gerekliliklere uygunluk<\/h2>\n

\u015eirketiniz i\u00e7in ge\u00e7erli olan d\u00fczenleyici ilkeler, se\u00e7ti\u011finiz yaz\u0131l\u0131m\u0131 ve i\u00e7indeki verileri kaps\u0131yorsa, uyumluluk denetimleri i\u00e7in hemen bir plan geli\u015ftirin. \u00c7ok b\u00fcy\u00fck kurumsal s\u0131n\u0131f a\u00e7\u0131k kaynak uygulamalar\u0131 bazen belirli denetim t\u00fcrlerini basitle\u015ftirebilecek destekleyici belgelerle birlikte gelir. Aksi takdirde, t\u00fcm bunlar\u0131 kendiniz geli\u015ftirmeniz gerekecektir ki bu da yine \u00f6nemli miktarda zaman ve kaynak ay\u0131rman\u0131z anlam\u0131na gelir.<\/p>\n

Her sekt\u00f6rdeki neredeyse her yaz\u0131l\u0131m par\u00e7as\u0131 bir lisans uygunluk denetimi gerektirecektir. Baz\u0131 a\u00e7\u0131k kaynakl\u0131 bile\u015fenler ve uygulamalar, AGPL<\/a> gibi k\u0131s\u0131tlay\u0131c\u0131 lisanslar alt\u0131nda da\u011f\u0131t\u0131l\u0131r ve bu da yaz\u0131l\u0131m\u0131 nas\u0131l da\u011f\u0131tabilece\u011finizi ve kullanabilece\u011finizi s\u0131n\u0131rlar. SBOM\/SCA analizi sayesinde, yaz\u0131l\u0131m\u0131n\u0131z ve ba\u011f\u0131ml\u0131l\u0131klar\u0131 i\u00e7in t\u00fcm lisanslar\u0131n envanterini \u00e7\u0131karabilir ve ard\u0131ndan kullan\u0131m durumunuzun bunlardan hi\u00e7birini ihlal etmedi\u011fini do\u011frulayabilirsiniz. Bu s\u00fcre\u00e7ler OSS Review Toolkit<\/a> gibi \u00f6zel ara\u00e7larla b\u00fcy\u00fck \u00f6l\u00e7\u00fcde otomatikle\u015ftirilebilir, ancak otomasyon, geli\u015ftirme ekibinizin net ilkeler ve \u00e7aba g\u00f6stermesini gerektirecektir.<\/p>\n

Destek maliyetleri<\/h2>\n

T\u00fcm bu hususlar\u0131 analiz ettikten sonra, uygulama deste\u011findeki farkl\u0131 yakla\u015f\u0131mlar\u0131 kar\u015f\u0131la\u015ft\u0131rman\u0131za olanak tan\u0131yan net bir tablo elde edebilirsiniz. Kurum i\u00e7i bir ekip taraf\u0131ndan destek i\u00e7in, ilgili uzmanlara saat ay\u0131rman\u0131z gerekir. Ekibiniz gerekli uzmanl\u0131\u011fa sahip de\u011filse, bu uzmanl\u0131\u011fa sahip olan birini i\u015fe alman\u0131z gerekecektir. A\u00e7\u0131k kaynakl\u0131 yaz\u0131l\u0131m deste\u011fi ve g\u00fcvenli\u011finden birincil derecede sorumlu olanlar\u0131n da s\u00fcrekli mesleki geli\u015fim i\u00e7in zamana ve b\u00fct\u00e7eye ihtiyac\u0131 olacakt\u0131r.<\/p>\n

\u0130\u00e7 ekibinizin kaynaklar\u0131n\u0131n, s\u0131n\u0131rl\u0131 personel veya uzmanl\u0131k nedeniyle destek i\u00e7in yetersiz olmas\u0131 durumunda, en az iki t\u00fcr profesyonel d\u0131\u015f kaynakl\u0131 teknik destek vard\u0131r: Red Hat gibi uygulama operasyonlar\u0131nda uzmanla\u015fm\u0131\u015f firmalar ve belirli uygulamalar i\u00e7in (Kube Clusters, MongoDB Atlas ve benzerleri) y\u00f6netilen bar\u0131nd\u0131rma sa\u011flay\u0131c\u0131lar\u0131.<\/p>\n

Zaman ve uzmanl\u0131\u011f\u0131n \u00f6tesinde, teknik deste\u011fin maliyeti ve karma\u015f\u0131kl\u0131\u011f\u0131 da kurulu\u015fun yayg\u0131n a\u00e7\u0131k kaynak kullan\u0131m\u0131na genel olarak haz\u0131r olup olmamas\u0131ndan etkilenir:<\/p>\n