Yazılım dünyasının en büyük krizi!

Soner Acar, son günlerde teknoloji dünyasında gündem olan GitHub kaynaklı güvenlik ihlali üzerinden dikkat çeken değerlendirmelerde bulundu. GitHub’un, bir çalışanın bilgisayarındaki zararlı VS Code eklentisi nedeniyle veri sızıntısına uğradığını duyurmasının ardından açıklama yapan Acar, asıl riskin geliştirici ortamlarında büyüdüğünü ifade etti.

“EN YETKİLİ AMA EN AZ DENETLENEN ALAN”

Soner Acar, yıllardır güvenlik yaklaşımının “geliştiriciye güven, platformu koru” anlayışıyla ilerlediğini ancak günümüzde bu yaklaşımın ciddi riskler oluşturduğunu belirtti.

Acar’a göre geliştiricilerin kullandığı yerel bilgisayarlar artık yalnızca kod yazılan alanlar değil; üretim ortamlarına erişim sağlayan SSH anahtarları, bulut servis token’ları ve kritik kimlik bilgilerinin tutulduğu merkezler haline geldi.

Acar, bu sistemlerde güvenlik ekiplerinin denetiminden geçmeyen çok sayıda üçüncü parti yazılımın tam yetkiyle çalıştığını vurguladı.

VS CODE EKLENTİLERİ VE YAPAY ZEKA ARAÇLARI RİSK ALTINDA

GitHub’da yaşanan olayın, yazılım tedarik zincirindeki kırılganlığı yeniden ortaya çıkardığını belirten Soner Acar, özellikle VS Code eklentileri ile yapay zeka tabanlı kod asistanlarına dikkat çekti.

Acar, “Bugün VS Code eklentilerinde yaşanan krizin bir sonraki durağı yapay zeka kod asistanları ve MCP sunucuları olacak” ifadelerini kullandı.

Yerel çalışan ve dosya sistemine tam erişimi bulunan yapay zeka araçlarının internete de erişebildiğini belirten Acar, bu yapıların tedarik zincirinin büyük ölçüde denetimsiz olduğunu söyledi.

“DİKKATLİ OLUN” UYARISININ YETERSİZ KALDIĞINI SAVUNDU

Soner Acar, yalnızca çalışanları uyarmanın artık yeterli olmadığını belirterek, otomatik güvenlik mekanizmalarının zorunlu hale geldiğini ifade etti.

Acar’ın dikkat çektiği güvenlik önlemleri arasında “pre-commit hook” sistemleri öne çıktı. Bu yapıların, yazılım geliştiricilerinin yaptığı her işlem öncesinde .env dosyaları, API anahtarları ve sertifikalar gibi hassas bilgileri otomatik olarak taraması gerektiğini belirten Acar, risk tespit edildiğinde işlemin anında durdurulmasının önemine işaret etti.

YAPAY ZEKA AJANLARI İÇİN KISITLAMA ÇAĞRISI

Soner Acar, yapay zeka destekli kod asistanları için de özel güvenlik mekanizmaları kurulması gerektiğini söyledi.

Claude Code ve Codex benzeri araçların sistem komutları ve yazma işlemlerinin “Agent Hook” mekanizmalarıyla denetlenmesi gerektiğini ifade eden Acar, .claudeignore benzeri yapılandırmalarla hassas verilerin erişime tamamen kapatılması gerektiğini belirtti.

“KİMLİK BİLGİLERİ YEREL DOSYALARDA TUTULMAMALI”

Acar’ın dikkat çektiği bir diğer başlık ise merkezi şifre yönetimi oldu.

Kimlik bilgilerinin yerel dosyalarda tutulmasının büyük risk oluşturduğunu belirten Soner Acar, AWS Secrets Manager benzeri merkezi kasaların kullanılmasını önerdi.

Acar, hassas bilgilerin yalnızca çalışma anında çağrılması gerektiğini ifade etti.

“GELİŞTİRME ORTAMLARI ARTIK CANLI SİSTEM GİBİ KORUNMALI”

Açıklamasının sonunda geliştirme ortamlarının artık klasik yöntemlerle korunamayacağını vurgulayan Soner Acar, şirketlerin “Dev Environment” yapısını tıpkı bir canlı sistem gibi yönetmesi gerektiğini söyledi.

Haber Kaynağı : 12punto