admin Görece olarak yeni bir teknoloji olan Kubernetes’in kullanılma oranı, konteyner orkestrasyon platformunun pek çok dijital dönüşüm çalışmasının değerli bir noktası haline gelmesiyle birlikte son birkaç yılda tepeyi görüyor. Şirketler üretim alanındaki kullandığı teknolojiye artık karar vermiş olsa da konteynerleştirilmiş iş yüklerinin en güzel nasıl korunabileceğine dair kimi kaygılar varlığını sürdürüyor. Açık kaynak tahlillerinde dünya başkanı Red Hat’in gerçekleştirdiği The State of Kubernetes Security for 2023 raporu, şirketlerin yazılım tedarik zinciri riskleri üzere bulut yerlisi ortamlarda karşılaştıkları muhakkak güvenlik risklerine ve uygulamalarını ve BT ortamlarını korumak için bu riskleri nasıl azaltabileceklerine odaklanıyor.
Dünyanın dört bir yanındaki 600 DevOps, mühendislik ve güvenlik profesyonelinin katıldığı bir anketi temel alan araştırma, şirketlerin bulut yerlisi yaklaşımı benimseme seyahatlerinde en çok karşılaştığı güvenlik zahmetlerini ve bu zahmetlerinin işleri üzerinde yarattığı etkiyi açığa çıkartıyor. Rapor birebir vakitte uygulama geliştirme ve güvenlik takımlarının güvenlik risklerini azaltmak için uygulayabileceği en uygun yolları sıralıyor ve yol gösteriyor.
Bu yılki raporda öne çıkan bulgular aşağıda yer alıyor:
- Araştırmaya katılanların yüzde 38’i konteynerleştirilmiş operasyonlara yapılan güvenlik yatırımlarının kâfi olmadığını düşünüyor. 2022’ye kıyasla bu alanda yüzde 7 artış bulunuyor.
- Araştırmaya katılanların yüzde 67’si güvenlik telaşlarından dolayı bulut yerlisini benimseme sürecini yavaşlatmak zorunda kaldığını belirtiyor.
- Araştırmaya katılanların yarısından fazlası son 12 ayda bulut yerlisi ve konteynerleştirilmiş geliştirmeyle irtibatlı yazılım tedarik zincirinde bir meseleyle karşılaşıyor.
Güvenlik, son birkaç yıldır konteyner kullanımındaki en büyük kaygılardan biri olmaya devam ediyor. Bu yılki anketin sonuçları da bu durumu tekrar gözler önüne seriyor. Güvenliğin gereğince ciddiye alınmadığını yahut güvenlik yatırımlarının kâfi olmadığını belirtenlerin oranı geçen seneye kıyasla yüzde 7 artarak yüzde 38’e ulaştı. Bu teknolojilerin kullanım oranı artıyor fakat güvenlik yatırımlarında tıpkı artış gözlemlenmiyor.
Bulut yerlisi tahlilleri için çoklukla DevOps yaklaşımını da içeren (ve içermesi gereken) bulut yerlisi güvenlik tahlilleri gerekiyor. BT gruplarının CI/CD (sürekli entegrasyon/sürekli teslimat) uygulama ve altyapı akışlarına geribildirimde bulunan ve onları koruyan güvenlik araçlarını belirlemeye ve kullanmaya odaklanması çok değerli. Şirketlerin de bu dönüşümü mevcut bir tahlili kullanmak yerine dönüşüm teşebbüslerinin bir kesimi olarak planlaması gerekiyor. Zira bulut yerlisi bilişimin gereksinimlerini karşılamak için kıymetli ölçüde özelleştirme yahut ayarlamalar yapmak gerekiyor.
Yatırım ile kullanım ortasındaki farklı azaltmanın en uygun yollarından birisi ise güvenliğin sonradan bir eklenti yerine dahili olarak yerleştirildiği bulut yerlisi araçlara yatırım yapmaktan geçiyor. Güvenlik tahlile işletim sistem temelinden uygulama düzeyine kadar pek çok evrede entegre edildiğinde şirketlerin en yeni teknolojileriyle uyumlu güvenlik tahlilleri için bütçelerinden ek maliyet ayırması gerekmiyor.
Bulut yerlisi teknolojileri benimsemenin öncelikli sebeplerinden birisi sağladığı çeviklik oluyor. Pazara daha süratli ulaşmaya yardımcı olması, ahenk sağlaması ve güvenilirliği bulut yerlisi teknolojilerin sağladığı yararlar ortasında yer alıyor ve şirketlerin BT altyapılarının dijital dönüşümüne güç veriyor. Lakin ankete katılanların yüzde 67’sinin güvenlik kaygıları nedeniyle uygulama dağıtımını geciktirmek yahut yavaşlatmak zorunda kalması, bu imkanların sağladığı yararların her vakit açığa çıkmadığını gösteriyor. Bu noktada yeni teknolojilerin ekseriyetle öngörülemeyen güvenlik zahmetlerini beraberinde getirdiğini unutmamak gerekiyor ve güvenliği bulut yerlisi geliştirmeyi engelleyen yahut zedeleyen bir öge yerine teknolojiyi başarılı bir halde benimsemek için gereken bileşenlerden birisi olarak görmek gerekiyor.
Küçük gecikmeler, şirketlerin bulut yerlisi güvenlik olaylarında endişelendiği hususların en sonlarında yer alıyor fakat araştırma, daha da önemli bir tesir yaratmasının mümkün olduğunu gösteriyor. Araştırma için yapılan anketi cevaplayanların yüzde 21’i güvenlik olaylarının bir çalışanın işten çıkarılmasına, yüzde 25’i de şirketlerinin cezaya çarptırılmasına neden olduğunu söylüyor. Güvenlik olayları, bariz tesirlerine ek olarak BT tertibinde pahalı yetenek, bilgi ve tecrübe kaybına neden olabiliyor. Ayrıyeten uyumluluk yahut bilgi ihlalleri nedeniyle düzenleyici para cezalarıyla karşı karşıya kalan şirketler, olumsuz bir haberle anılmaya ek olarak değerli bir mali yük ile karşı karşıya kalıyor.
Ankete katılanların yüzde 37’si gelir/müşteri kaybını konteyner ve Kubernetes güvenlik olayıyla irtibatlı olduğunu saptıyor. Bu olaylar kritik projelerin yahut yeni bir sürümün paylaşılmasını geciktirebileceği için şirketlerin geliştirme basamağında gözden kaçabilen zafiyetleri gidermek için güvenlik çalışmalarına öncelik vermesi gerekiyor. Bu gecikmeler şirketlerde daha fazla gelir kaybı, müşteri memnuniyetsizliği ve rakiplere karşı pazar hissesinin küçülmesi üzere daha önemli sonuçlara neden olabiliyor. Birebir vakitte müşterilerin gözünde şirketin hassas bilgileri muhafaza maharetini kuşkuya düşürdüğü için o müşterinin bir daha geri dönmemek üzere büsbütün kaybedilmesiyle sonuçlanabiliyor.
Güvenliği bulut yerlisi stratejinin birinci kademelerinde önceliklendirerek şirketler hassas bilgiler, fikri mülkiyet ve müşteri bilgisi üzere kurumsal varlıkları koruyacak yatırımlar yapıyor. Tıpkı vakitte mevzuat gerekliliklerini daha âlâ karşılayabiliyor, iş sürekliliğini sağlayabiliyor, müşteri itimadını koruyabiliyor ve ilerleyen evrelerde güvenlik meselelerini daha az maliyetle düzeltebiliyor.
Yazılım tedarik zincirinin güvenliğine gösterilen dikkat hiç olmadığı kadar yüksek. Sonatype’ın araştırmasına nazaran son üç yılda yazılım tedarik zinciri ataklarında ortalama yıllık yüzde 742 oranında önemli bir artış gözlemleniyor. BT başkanlarının zihinlerini meşgul eden belli tedarik zinciri tasalarına ışık tutmak için anketimize katılanlara Kubernetes’teki yazılım tedarik zinciri güvenliğiyle ilgili en çok kaygı veren olayın hangisi olduğu ve rastgele bir olay yaşayıp yaşamadıkları üzere çeşitli sorular sorduk.
Araştırmada ortaya çıkan bulgular, konteynerleştirilmiş bir ortamın simgesi haline gelen ve genişleyen yazılım tedarik zincirlerinde oluşabilecek meselelere dair kestirimleri takviyeler nitelikte. Hususla ilgili en büyük üç kaygı ise sırasıyla savunmasız uygulama bileşenleri (yüzde 32), yetersiz erişim denetimleri (yüzde 30) ve yazılım gereç listesi (SBOM) ve kaynak eksikliği (yüzde 29) olarak sıralanıyor.
Yanıt verenlerin yarısından fazlasının soruda tanımlanan neredeyse her sorunu deneyimlemiş olması ise dikkat edilmesi gereken bir bahis olarak öne çıkıyor. Karşılaşılan bu meseleler ortasında savunmasız uygulama bileşenleri ve CI/CD akışındaki zafiyetler ise en sık gözlemlenen iki sorun olarak sıralanıyor.
Öte yandan şirketlerin yazılım tedarik zincirlerinin güvenliğini güçlendirecek adımlar atıyor olması ise olumlu bir gelişme olarak dikkat çekiyor. Yazılım tedarik zinciri güvenliği karmaşık ve çok taraflı bir alan lakin kapsamlı bir DevSecOps yaklaşımına sahip olmak, tesirli bir strateji haline geliyor. Ankete katılanların yüzde 39’u, DevSecOps’un kıymetini anlıyor ve bu yaklaşımı kullanmanın şu anda birinci kademelerinde yer alıyor.
Tüm bunların dışında şirketler yazılım bileşenlerinin ve bağımlılıkların güvenliğine yazılım geliştirme hayat döngüsünün başlarında odaklanarak ve her basamakta güvenliğin entegrasyonunu otomatikleştirmek için DevSecOps uygulamalarını kullanarak tutarsız ve manuel süreçlerden dengeli, tekrarlanabilir ve otomatik operasyonlara geçebiliyor.
LG, 500 Metre Aralıktan 6G THZ Bilgiyi Muvaffakiyetle İletip Alarak Yeni Rekor Kırdı 
Procreate Dreams Yayınlandı 
Fikirlerden İnovasyona; Dell Technologies Forum 2023 
Samsung dART Platformu’nun Düzenlediği, “Yüz Yılın Sanatı: Dijital Sanat Sergisi” Açıldı 
CoreDirector, Hibrit Intel İşlemcilerde Çekirdek Denetimi Sunuyor 
LG, Sivas’ta Brandshop Mağazası Açtı