CNCF'nin şu anda Atlanta'daki KubeCon + CloudNativeCon'da 10. yıldönümünü kutlamak üzere kutladığı açık kaynak ve bulut tabanlı yazılımlardaki ilerlemeler ne kadar cesaret verici olsa da, giderek daha fazla uygulama kaçınılmaz olarak siber saldırılara yönelik saldırı yüzeyini artırıyor. Geliştiricilerin temel görevi, güvenlik uzmanları arasında Ortak Güvenlik Açıkları ve Etkilenmeler veya kısaca CVE'ler olarak bilinen kod düzeyindeki güvenlik açıklarını yamalamak ve bunlardan kaçınmaktır.
Duyurudan sonra devamını okuyun
CNCF projelerindeki zayıflıklar
CNCF projelerinde ise 2025 yılında sayıları bir önceki yıla göre %16 arttı. Özellikle endişe verici olan, açık kaynak ortamında artan tedarik zinciri saldırılarıdır. En yeni örnek, NPM ekosistemindeki 500'den fazla paketi tehlikeye atan Shai-Hulud solucanıdır.
Koruyucu önlemlere yönelik yaklaşımlardan biri kullanılan yazılımın doğrulanmasıdır. Bu şekilde hangi CVE'lerin olduğunu öğrenebilirsiniz. Şu anda bir dizi CNCF projesini inceleyen Açık Kaynak Teknoloji Geliştirme Fonu (OSTIF) destek sağlayabilir. Kasım ayının başında sanal makinelerin ve konteynerlerin birlikte yönetilebileceği bir ortam sağlayan KubeVirt'in raporu çıktı. OSTIF'e göre projede 15 güvenlik açığı bulundu. CVE-2025-64324 yüksek kritikliğiyle dikkat çekiyor. Diğer yedisi orta derecede zor olarak derecelendirildi.
OSTIF, diğer şeylerin yanı sıra CNCF için genellikle Aralık ayında çıkan yıllık bir rapor yayınlıyor. 2025 yılı için hâlâ beklemede ancak kısmi sonuçlar zaten mevcut. Linkerd hizmet ağı için biri yüksek kritiklik seviyesine sahip toplam yedi güvenlik açığı listeleniyor. 2024 yılında 11 CNCF projesi teste tabi tutuldu. Sonuç olarak orta veya yüksek kritikliğe sahip 28 güvenlik açığı elde edildi.
CNCF Linkerd projesine ilişkin OSTIF raporundan alıntı
(Resim: OSTIF)
Güvenlik açıkları, özellikle konteyner görüntüsü düzeyinde hala büyük bir sorundur. Docker, Mayıs 2025'te Docker Hardened Images'ı (DHI) tanıtarak yanıt verdi. Orijinal kapsayıcı görüntülerinin küçültülmüş versiyonlarına dayanmaktadırlar. Daha az yazılım bileşeninin dahil edilmesi, otomatik olarak daha küçük bir saldırı yüzeyine dönüşür.
Duyurudan sonra devamını okuyun
Minimus bu ortamda kendisini yeni bir oyuncu olarak konumlandırıyor. iX ile yapılan bir röportajda CTO ve kurucu ortak John Morello, şirketin ve iş fikrinin uzun süredir var olduğunu ancak Mayıs 2025'e kadar “gizli modda” olduklarını açıkladı. Minimus ayrıca orijinal kapsayıcı görüntülerinin minimalist versiyonlarını sunuyor ancak bir adım daha ileri gidiyor: “Minimal Görüntüler” ürünü, görüntünün güncellenmiş alt bileşenlerinin olup olmadığını her 24 saatte bir kontrol ediyor. Güncelleme bilinen bir güvenlik açığını giderirse Minimus, konteyner görüntüsünün yeni bir sürümünü oluşturur. Bu, kullanıcıların minimum sayıda güvenlik açığına sahip güncellenmiş yazılımları alacağı anlamına gelir. Ancak bu teknik yalnızca herkesin erişebildiği yazılım dizinlerine sahip tamamen açık kaynaklı kapsayıcı görüntülerle çalışır. Minimus evrensel bir çözüm sunmaz ancak OSS ortamında özellikle yararlı olabilir.
Yapay zeka ve ajanların oluşturduğu tehditlere yeni yaklaşımlar
Yapay zekayı (AI) çevreleyen abartılı reklam, ek siber güvenlik zorlukları yaratıyor: Yapay zeka temsilcilerinin birbirlerine tam güveni olmalı mı? İş akışları veya kararlar için verilere erişmeye ne dersiniz? Modeller doğru mu yoksa değiştirilmiş mi? Kimlik yönetimi alanında Cyberark şirketi de diğerlerinin yanı sıra bu soruları ele aldı. Aralık 2025 için Cyberark, ajan tabanlı yapay zekaya odaklanan yeni bir ürünün duyurusunu yaptı. Ancak şirket tekerleği yeniden icat etmiyor, bunun yerine yapay zeka ajanlarına insan kullanıcılarla aynı muameleyi yapıyor.
Güven ilişkileri kimliğe dayalıdır, tıpkı yapay zekadan önce olduğu gibi erişim hakları da onunla ilişkilidir. Yenilikleri detaylı olarak bulabilirsiniz. Cyberarks yaklaşımında yapay zeka aracılarının MCP sunucuları veya veri kaynaklarıyla bir ağ geçidi aracılığıyla iletişim kurması gerekir. Kimlik Güvenliği Platformu olarak adlandırılan platform merkezi bir rol oynuyor. Yetkilerin yönetimi, tahsisi ve bunların doğrulanması burada gerçekleşir. Tüm iletişimler şifrelenmiştir. iX ile resmi olmayan bir görüşmede Cyberark temsilcileri ek güvenlik mekanizmalarına yönelik planların olduğunu belirtti. Gelecekte modellerin bütünlüğü de imzalarla garanti altına alınacak veya doğrulanacak. Ancak ilk fikirlerin ötesinde somut bir bilgi henüz mevcut değil.
(harita)
Bir yanıt yazın