ÜÇÜNCÜ TARAF YAZILIM BİLEŞENLERİNDEN KAYNAKLANAN ZAYIFLIKLARIN TESPİTİ ve YÖNETİMİNE İLİŞKİN BİR UYGULAMA

Öz

Üçüncü taraf yazılım bileşenlerinin kullanımı her geçen gün artmaktadır. Bu yazılım bileşenleri, şirketlerin hızlı, esnek ve pratik çözümler geliştirmesine yardımcı olurken, birçok güvenlik açığını da bünyesinde barındırabilmektedir. Üçüncü taraf yazılımlara olan talebin artmasına rağmen bu yazılımların kapalı kaynak kod içermesi sebebiyle güvenlik kontrol ve testleri yeterince yapılamamaktadır. Yeterli güvenlik testleri ve kontrolleri yapılmadan bu yazılımların sistemlere entegre edilmesi büyük risk oluşturmaktadır. Bunun sonucunda kurumlar telafisi mümkün olmayan kayıplarla karşı karşıya kalabilmektedir. Bu risk ve kayıpların önüne geçebilmek için üçüncü taraf yazılımların güncel tutulması ve güvenlik açıklarının hızlı bir şekilde tespit edilmesi büyük önem taşımaktadır. Bu kurumların aşması gereken önemli bir sorundur. Bu çalışmada yazılım bileşenlerinden kaynaklanan zafiyetlerin tespiti, analizi, yönetimi, kontrolü, raporlanması ve kurumsal yazılımlarla entegrasyonu ele alınmıştır. Black Duck güvenlik açığı kontrol aracı üzerinde uygulamalı çalışmalar yapılmıştır. Sonuç olarak, uygulama güvenlik araçlarının kullanılması denetim ve kontrol faaliyetlerinin daha hızlı, daha şeffaf ve güvenilir sonuçlara ulaşmasına katkı sağlamaktadır ve uygulama açıklarından kaynaklanan güvenlik risklerinin etkin yönetimine, kontrolüne ve denetimine yardımcı olmaktadır. Aynı zamanda güvenlik ve uyumluluğa da katkıda bulunur, kaynakların etkin kullanımı ile işletmelere çeviklik, verimlilik, karlılık ve rekabet gibi alanlarda avantajlar sunmaktadır. Bu çalışma bilgi teknolojileri, iç kontrol, risk ve denetim profesyonelleri için bir rehber niteliği taşımakta ve literatüre katkı sağlamaktadır.

Anahtar Kelimeler

• Teknoloji ve Yenilik
• Üçüncü Taraf Yazılım
• Zafiyet
• Uygulama Güvenliği
• Denetim ve Kontrol

A Practice for Detection and Management of Weaknesses from Third-Party Software Components

Öz

The use of third-party software components is increasing day by day. While these software components help companies develop fast, flexible and practical solutions, they can also contain many security vulnerabilities. Despite the increasing demand for third-party software, security controls and tests cannot be done adequately due to the closed source code of these software. Integrating these software into systems without adequate security tests and controls poses a great risk. As a result, institutions may face irreparable losses. In order to prevent these risks and losses, it is of great importance to keep third-party software up-to-date and to detect security vulnerabilities quickly. This is an important problem that institutions must overcome. In this study, the detection, analysis, management, control, reporting and integration with corporate software of vulnerabilities arising from software components are discussed. Hands-on work has been done on the Black Duck vulnerability check tool. As a result, the use of application security tools contributes to faster, more transparent and reliable results of audit and control activities and helps to effectively manage, control and audit security risks arising from application vulnerabilities. It also contributes to security and compliance, and offers advantages to businesses in areas such as agility, efficiency, profitability and competition with the effective use of resources. This study serves as a guide for information technology, internal control, risk and audit professionals and contributes to the literature.

Anahtar Kelimeler

• Technology and Innovation
• 3rd Party Software
• Vulnerability
• Application Security
• Audit and Control

Kaynakça

1. Arslan, Y. & Özbilger, H. İ. (2022). Ulusal mevzuat perspektifinde bilgi işlem birimlerinin iç denetiminde bir kontrol listesi önerisi. Denetişim Dergisi, 1-12. Retrieved from https://dergipark.org.tr/tr/pub/denetisim/issue/73424/1126790
2. Bozoklu, O. & Çil, C.Z. (2017). Yazılım güvenlik açığı ekosistemi ve Türkiye’deki durum değerlendirmesi. Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, 3 (1) , 6-26. Doi: 10.18640/ubgmd.303598
3. Cadariu, M., Bouwers, E., Visser, J., Deursen, A. (2015). Tracking known security vulnerabilities in proprietary software systems. 2015 IEEE 22nd International Conference on Software Analysis, Evolution, and Reengineering, SANER 2015 - Proceedings. 516-519. 10.1109/SANER.2015.7081868.
4. Cobleigh, A., Hell, M., Karlsson, L., Reimer, O., Sönnerup, J., & Wisenhoff, D. (2018). Identifying, prioritizing and evaluating vulnerabilities in third party code. 2018 IEEE 22nd International Enterprise Distributed Object Computing Workshop (EDOCW), 208-211.
5. Dennig, F., Cakmak, E., Plate, H., Keim, D.A. (2021). Vulnex: exploring open-source software vulnerabilities in large development organizations to understand risk exposure. Software Engineering, https://doi.org/10.48550/arXiv.2108.06259.
6. Fowler, M. (2006). Continuous integration. https://martinfowler.com/articles/continuousIntegration.html adresinden alındı. (Erişim Tarihi, 06 Kasım 2022).
7. Kekül, H., Ergen, B. & Arslan, H. (2021). Yazılım güvenlik açığı veri tabanları. Avrupa Bilim ve Teknoloji Dergisi, Ejosat Özel Sayı 2021 (ICAENS), 1008-1012 . Doi: 10.31590/ejosat.1012410
8. Keskinkılıç, M. & Özmen, E. (2018). Yazılım projelerinde yazılım geliştiricilerin yazılım süreç modellerini kullanım farkındalıkları. Akademi Sosyal Bilimler Dergisi, 5(15), 61-78, https://dergipark.org.tr/tr/pub/asbider/issue/41362/500096.

9. Laurent, A.M. (2004). Understanding open source and free software licensing. O'Reilly Media, Inc
10. Nikbakht Bideh, P., Höst, M., & Hell, M. (2018). HAVOSS: A maturity model for handling vulnerabilities in third party oss components. In Product-Focused Software Process Improvement (pp. 81-97). ( Lecture Notes in Computer Science; Vol. 11271). Springer. https://doi.org/10.1007/978-3-030-03673-7_6
11. Ozment, A.(2007). Vulnerability discovery & software security. Doctoral thesis. University of Cambridge
12. Pawlan, D. (2021). What is a code repository? https://aloa.co/blog/what-is-code-repository-best-code-repo-hosting-2021#:~:text=A%20code%20repository%20is%20an,any%20successful%20software%20development%20project. (Erişim Tarihi, 15 Kasım 2022).
13. Rebrošová, P. (2018). Gathering Vulnerability Information Published by Software Manufacturers. Bachelor’s Thesis, Faculty of Informatics, Masaryk University.
14. Ritchey, T., Lövkvist-Andersen, A., Olsson, R., Stenström, M. (2004). Modelling society's capacity to manage extraordinary events developing a generic design basis (GDB) model for extraordinary societal events using computer-aided morphological analysis.
15. Sahinaslan, E. (2019). On the internet of things: Security, threat and control. AIP Conference Proceedings 2086, 030035; https://doi.org/10.1063/1.5095120.
16. Sahinaslan, O., & Sahinaslan, E. (2019, 04 02). Cross-object information security: A study on new generation encryption. AIP Conference Proceedings 2086, 030034; https://doi.org/10.1063/1.5095119
17. Şahinaslan, E. , Arpacıoğlu, N. & Şahinaslan, Ö. (2023). Yazılım Dağıtım Sürecinin Otomatikleştirilmesine İlişkin Uygulamalı Bir Çalışma. Uluslararası Yönetim Bilişim Sistemleri ve Bilgisayar Bilimleri Dergisi, 7 (1) , 41-67. Doi: 10.33461/uybisbbd.1206484
18. Şahinaslan, E. (2010). Bankacılık sektörüne yönelik ISO 27001 temelli bir bilgi güvenliği risk analiz ve ölçümleme metodunun modellenmesi ve uygulama yazılımının gerçekleştirilmesi. Doktora Tezi, Fen Bilimleri Enstitüsü, Trakya Üniversitesi.
19. Şahinaslan, Ö., Borandağ, E., & Aksoy, Ş. (2011). Web tabanlı uygulamalarda performansı etkileyen unsurlar. XIII. Akademik Bilişim Konferansı (s. 599-604). İnönü Üniversitesi.
20. Şahinaslan, Ö. (2013). Siber saldırılara karşı kurumsal ağlarda oluşan güvenlik sorunu ve çözümü üzerine bir çalışma. Doktora Tezi, Fen Bilimleri Enstitüsü, Trakya Üniversitesi.
21. Zhan, X., Fan, L., Chen, S., Wu, F., Liu, T., Luo, X., & Liu, Y. (2021). ATVHunter: Reliable Version Detection of Third-Party Libraries for Vulnerability Identification in Android Applications. 2021 IEEE/ACM 43rd International Conference on Software Engineering (ICSE), 1695-1707.
22. Blackduck (2022). Black duck software composition analysis, https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html. (Erişim Tarihi, 24 Kasım 2022).
23. Black Duck Documentation (2022), Black Duck on-premise architecture overview, https://community.synopsys.com/s/document-item?bundleId=bd-hub&topicId=Network_Communications/ ArchitectureOverview.html&_LANG=enus. (Erişim Tarihi, 24 Kasım 2022).
24. Checkmarx (2022). Why checkmarx. https://checkmarx.com/. (Erişim Tarihi, 12 Eylül 2022).
25. Contrast-Security (2022). https://www.contrastsecurity.com/. (Erişim Tarihi, 20 Kasım 2022).
26. CNVD (2022). https://www.cnvd.org.cn/. (Erişim Tarihi, 10 Ekim 2022).
27. CVE (2022). Search CVE list, https://cve.mitre.org/. (Erişim Tarihi, 02 Ağustos 2022).
28. DataTheorem (2022). https://www.datatheorem.com/. (Erişim Tarihi, 27 Temmuz 2022).
29. EDB (2022). Exploit database, https://www.exploit-db.com/. (Erişim Tarihi, 25 Ekim 2022).
30. Gartner (2022). 2022 Gartner magic quadrant for application security testing. https://www.synopsys.com/software-integrity/resources/analyst-reports/gartner-magic-quadrant-appsec.html (Erişim Tarihi, 24 Ekim 2022).
31. GitHub (2022). Features. https://github.com/features/security. (Erişim Tarihi, 25 Ekim 2022).
32. GitLab (2022). A comprehensive software innovation platform. https://about.gitlab.com/platform/?stage=plan. (Erişim Tarihi, 25 Ekim 2022).
33. HLC Software (2022). Enterprise security. https://www.hcltechsw.com/enterprise-security. (Erişim Tarihi, 17 Eylül 2022).
34. Invicti (2022). Produst overview, https://www.invicti.com/product/. (Erişim Tarihi, 20 Ekim 2022).
35. İTU (2022). Snippet kullanımı. https://bidb.itu.edu.tr/seyir-defteri/blog/2013/09/06/snippet-kullan%C4%B1m%C4%B1. (Erişim Tarihi, 28 Ekim 2022).
36. JFrog (2022). What is a software vulnerability? https://jfrog.com/knowledge-base/software-vulnerability/. (Erişim Tarihi, 25 Ekim 2022).
37. JVN (2022). Japan vulnerability notes. https://jvn.jp/en/. (Erişim Tarihi, 30 Eylül 2022).
38. Micro Focus (2022). Application security. https://www.microfocus.com/en-us/cyberres/application-security. (Erişim Tarihi, 25 Ekim 2022).
39. NTT (2022), Application security testing. https://services.global.ntt/cs-cz/services-and-products/security/application-security/application-security-testing. (Erişim Tarihi, 26 Ekim 2022).
40. NVD (2022). National vulnerability database, https://nvd.nist.gov/. (Erişim Tarihi, 25 Kasım 2022).
41. Onapsis (2022). Automated security testing designed for SAP applications. https://onapsis.com/solutions/application-security-testing. (Erişim Tarihi, 25 Ekim 2022).
42. Rapid (2022). Vulnerability & exploit database. https://www.rapid7.com/db/. (Erişim Tarihi, 17 Ekim 2022).
43. Rapid7 (2022). Dynamic application security testing. https://www.rapid7.com/products/insightappsec/. (Erişim Tarihi, 25 Ekim 2022).
44. Rosencrance, L. (2021). What is a vulnerability assessment?, www.techtarget.com/ searchsecurity/definition/vulnerability-assessment-vulnerability-analysis (Erişim Tarihi, 13 Ekim 2022).
45. Synopsis (2022). Binary code and binary analysis. https://www.synopsys.com/glossary/what-is-binary-code-binary-analysis.html. (Erişim Tarihi, 25 Ekim 2022).
46. Sykn (2022. Open source risk management made for developers. https://snyk.io/solutions/application-security/. (Erişim Tarihi, 25 Ekim 2022).
47. Veracode (2022). Veracode solution. https://www.veracode.com/. (Erişim Tarihi, 20 Ekim 2022).