Avrupa Birliği’nin Siber Dayanıklılık Yasası (EU Cyber Resilience Act), dijital unsurlu öğelere (PDE – Products with Digital Elements) sahip ürünler için şeffaflık, güvenlik zafiyeti yönetimi ve uzun vadeli güvenlik bakım yönergelerini sağlamak amacıyla yazılım üreticileri için önemli yeni gereksinimler getirmekte. Organizasyonlar üzerinde ürün kalitesi ve güvenliğini geliştirmeden piyasa sonrası izlemeye kadar tüm ürün yaşam döngüsü boyunca önceliklendirme konusunda ek yükümlülükler sözkonusu. Bu talepleri karşılamak, özellikle olgun uygulama güvenliği (AppSec) programı olmayan şirketler için zor olabilir ve uyum maliyetlerine, mali cezalara, piyasa gecikmelerine ve artan risklere yol açabilir.
CRA: Nedir ve Ne İşe Yarar?
CRA, Avrupa Birliği içinde satılan dijital unsurlara sahip ürünler için yeni bir siber güvenlik temeli oluşturur. Temel hedefleri şunlardır:
- Üreticilerin, tasarım ve geliştirme aşamasının en başından itibaren dijital öğelerle ürünlere güvenlik entegre etmelerini ve bu güvenliği ürünün tüm yaşam döngüsü boyunca korumalarını sağlamak,
- AB genelinde tutarlı bir siber güvenlik çerçevesi oluşturmak, hem donanım hem de yazılım üreticileri için uyumluluğu basitleştirmek,
- Dijital ürünlerin güvenlik özellikleri ve özelliklerinin şeffaflığını artırmak, işletmelerin ve tüketicilerin daha bilinçli seçimler yapmalarını sağlamak,
- İşletmelerin ve tüketicilerin bu dijital ürünleri güvenli bir şekilde kullanmalarını, daha iyi bilgi ve daha dayanıklı teknolojiyle donatılmış şekilde kullanmalarını sağlamak.
Dijital Öğelere Sahip Ürünler (PDE) İfadesi Neleri Kapsar?
- Akıllı telefonlar, bilgisayarlar, akıllı ev aletleri (TV’ler, kameralar, termostatlar,…) ve giyilebilir cihazlar,
- Nesnelerin İnterneti (IoT) cihazları,
- Endüstriyel kontrol sistemleri,
- İşletim sistemleri, uygulamalar, firmware ve hatta bireysel donanım ve yazılım bileşenleri gibi geleneksel yazılımlara kadar geniş bir spektrumu kapsar.
Tanıma “uzaktan veri işleme çözümleri”nin dahil edilmesi dikkat çekicidir; çünkü CRA’nın erişimini fiziksel bir ürünün işlevselliğinin ayrılmaz bir parçası olan bulut hizmetlerine genişletir; bağımsız yazılım-hizmet ürünleri genellikle hariç tutulsa bile. Örneğin, birçok modern IoT cihazı, veri depolama, analitik veya uzaktan kumanda gibi özellikler için arka uç bulut hizmetlerine dayanır. Eğer bu arka uç hizmetler PDE’nin işleyişi ve güvenliği için vazgeçilmezse, CRA’nın kapsamına girerler.
Temel AB CRA Gereksinimleri
CRA beş ana başlığı içerir. Bunlar, Tasarım Yoluyla Güvenlik, Güvenlik Açığı Yönetimi, Şeffaflık ve Dokümantasyon, Piyasa Sonrası Gözetim ve Uyumsuzluk Cezaları olarak listelenebilir.
- Varsayılan olarak Güvenlikli Tasarım (Security by Design): PDE’ler, risk değerlendirmesine dayalı uygun bir siber güvenlik seviyesiyle tasarlanmalı, geliştirilmeli ve üretilmelidir. Ürünler, bilinen sömürülebilir güvenlik açığları olmadan ve varsayılan olarak güvenli bir yapılandırmayla piyasaya sürülmelidir.
- Güvenlik açığı yönetimi ve raporlama: CRA, ürünün yaşam döngüsü boyunca sağlam güvenlik açığı yönetimi süreçlerini zorunlu kılmaktadır. Bu, sürekli izleme, düzenli test, zafiyetlerin gecikmesiz ele alınması ve koordineli bir güvenlik açığı açıklama politikası oluşturulmasını içerir. Ayrıca, üreticiler aktif olarak kullanılan herhangi bir güvenlik açığı hakkında 24 saat içinde ilgili AB ajansını bilgilendirmelidir.
- SBOM tedariki: Üreticiler, ürünlerindeki bileşenleri tanımlamalı ve belgelemek zorunda; bu da Yazılım Malzeme Listesi (SBOM) üretimini içerir. Bu SBOM’lar yaygın kullanılan, makine tarafından okunabilir bir formatta olmalı ve en azından doğrudan uygulama bağımlılıklarını kapsamalıdır.
- Uyum değerlendirmesi: Bir PDE AB’de satılmadan önce, üreticiler CRA’nın temel gerekliliklerine uygunluğunu göstermek için bir uyum değerlendirmesi yapmalıdır.
Black Duck’ın CRA Çözümü
Black Duck’ın AppSec portföyü, hem tescilli kaynak kodunu hem de dış bağımlılıkları analiz eden, yazılım geliştirme yaşam döngüsü boyunca erken ve sürekli olarak açıkları ve kalite sorunlarını tespit eden birleşik, otomatik bir güvenlik yaklaşımı sunar. Bu birleşik içgörü ve sorunsuz geliştirme entegrasyonları, düzenleyici zaman çizelgeleri ve beklentilerle uyumlu şekilde etkili önceliklendirme ve iyileştirme imkanı sağlar.
| CRA Gereksinimleri | Black Duck Çözümleri |
| Varsayılan olarak Güvenlikli Tasarım | • Statik uygulama güvenlik testi (SAST), tasarım ve kod seviyesindeki kusurları erken tespit eder • Fuzz testi, çalışma zamanı güvenlik sorunlarını ortaya çıkarıyor • Yazılım bileşimi analizi (SCA), savunmasız dış bağımlılıkları belirler |
| Güvenlik açığı yönetimi ve raporlama | • SCA, bilinen güvenlik açıkları ve kötü amaçlı paketler hakkında uyarı verir. • Fuzz testi, sıfır gün güvenlik açıklarını ortaya çıkarır. |
| SBOM sağlanması | • SCA, bağımlılıkları otomatik olarak tanımlar ve SBOM’ları standart formatlarda dışa aktarır |
| Uyumluluk değerlendirmesi | • SCA, SAST ve fuzz testleri, testler, bulgular ve bileşen kullanımıyla ilgili ayrıntılı raporlar sunar • Uygulama güvenlik duruşu yönetimi (ASPM), bir uygulamada yapılan tüm testlerin konsolide bir görünümünü sunar |
Çözümün Anahatları
- Black Duck® SCA, uygulamaları tarar ve açık kaynak ve üçüncü taraf bağımlılıkları tespit eder ve ekipleri güvenlik, lisans uyumu veya bileşen sağlık riskleri konusunda uyarır. Black Duck SCA ayrıca SPDX veya CycloneDX formatlarında, standart veya özel alanlarla SBOM’lar üretir. Ayrıca taranan uygulamalar, risk bulguları ve bileşen kullanımı hakkında ayrıntılı dokümantasyon sağlar.
- Coverity® Static Analysis, kalite ve güvenlik kodlama hatalarını erken tespit etmek ve düzeltmek için özel kaynak kodunu analiz eder ve böylece tasarım yoluyla güvenli geliştirmeyi destekler. Coverity ayrıca ISO 26262, CERT C/C++ ve MISRA gibi standartlar için uyum raporları üretebilir.
- Defensics® Fuzzing, protokollerde ve arayüzlerdeki bilinmeyen açıklıkları ortaya çıkarır; üretken fuzz test teknikleri, titiz hata enjeksiyonları dahil, ürünün dayanıklılığını, olumsuz koşullarda stabilitesini ve dayanıklılığını doğrulamaya yardımcı olur.
- Software Risk Manager™, bir üründe yapılan tüm uygulama güvenlik testlerinin birleştirilmiş kaydını sağlayan bir ASPM aracıdır. Bu güvenlik kayıt sistemi, 150’den fazla araçtan test sonuçları desteğini içerir ve kalite yönetim sistemleri için önemli bir bilgi sağlayıcısıdır.
Kaynaklar:
- Navigating the EU Cyber Resilience Act: Compliance Strategy and Guide
- EU Cyber Resilience Act (CRA) AppSec solutions | Black Duck
- Cyber Resilience Act (EU): a disruptive regulation for the EU market
Bu konu ile ilgili olarak, Forcerta’nın sağladığı çözüm ve danışmanlık hizmetleri konusunda daha fazla bilgi almak için aşağıdaki formu doldurarak iletişim kurabilirsiniz.
