Üçüncü taraf yazılım bileşenlerinden kaynaklanan zayıflıkların tespiti ve yönetimine ilişkin bir uygulama
Date
2023
Authors
Şahinaslan, Önder
Şahinaslan, Ender
Küçükali, Erdi
Journal Title
Journal ISSN
Volume Title
Publisher
Kamu İç Denetçileri Derneği
Abstract
Üçüncü taraf yazılım bileşenlerinin kullanımı her geçen gün artmaktadır. Bu yazılım bileşenleri, şirketlerin hızlı, esnek ve pratik çözümler geliştirmesine yardımcı olurken, birçok güvenlik açığını da bünyesinde barındırabilmektedir. Üçüncü taraf yazılımlara olan talebin artmasına rağmen bu yazılımların kapalı kaynak kod içermesi sebebiyle güvenlik kontrol ve testleri yeterince yapılamamaktadır. Yeterli güvenlik testleri ve kontrolleri yapılmadan bu yazılımların sistemlere entegre edilmesi büyük risk oluşturmaktadır. Bunun sonucunda kurumlar telafisi mümkün olmayan kayıplarla karşı karşıya kalabilmektedir. Bu risk ve kayıpların önüne geçebilmek için üçüncü taraf yazılımların güncel tutulması ve güvenlik açıklarının hızlı bir şekilde tespit edilmesi büyük önem taşımaktadır. Bu kurumların aşması gereken önemli bir sorundur. Bu çalışmada yazılım bileşenlerinden kaynaklanan zafiyetlerin tespiti, analizi, yönetimi, kontrolü, raporlanması ve kurumsal yazılımlarla entegrasyonu ele alınmıştır. Black Duck güvenlik açığı kontrol aracı üzerinde uygulamalı çalışmalar yapılmıştır. Sonuç olarak, uygulama güvenlik araçlarının kullanılması denetim ve kontrol faaliyetlerinin daha hızlı, daha şeffaf ve güvenilir sonuçlara ulaşmasına katkı sağlamaktadır ve uygulama açıklarından kaynaklanan güvenlik risklerinin etkin yönetimine, kontrolüne ve denetimine yardımcı olmaktadır. Aynı zamanda güvenlik ve uyumluluğa da katkıda bulunur, kaynakların etkin kullanımı ile işletmelere çeviklik, verimlilik, karlılık ve rekabet gibi alanlarda avantajlar sunmaktadır. Bu çalışma bilgi teknolojileri, iç kontrol, risk ve denetim profesyonelleri için bir rehber niteliği taşımakta ve literatüre katkı sağlamaktadır.
The use of third-party software components is increasing day by day. While these software components help companies develop fast, flexible and practical solutions, they can also contain many security vulnerabilities. Despite the increasing demand for third-party software, security controls and tests cannot be done adequately due to the closed source code of these software. Integrating these software into systems without adequate security tests and controls poses a great risk. As a result, institutions may face irreparable losses. In order to prevent these risks and losses, it is of great importance to keep third-party software up-to-date and to detect security vulnerabilities quickly. This is an important problem that institutions must overcome. In this study, the detection, analysis, management, control, reporting and integration with corporate software of vulnerabilities arising from software components are discussed. Hands-on work has been done on the Black Duck vulnerability check tool. As a result, the use of application security tools contributes to faster, more transparent and reliable results of audit and control activities and helps to effectively manage, control and audit security risks arising from application vulnerabilities. It also contributes to security and compliance, and offers advantages to businesses in areas such as agility, efficiency, profitability and competition with the effective use of resources. This study serves as a guide for information technology, internal control, risk and audit professionals and contributes to the literature.
The use of third-party software components is increasing day by day. While these software components help companies develop fast, flexible and practical solutions, they can also contain many security vulnerabilities. Despite the increasing demand for third-party software, security controls and tests cannot be done adequately due to the closed source code of these software. Integrating these software into systems without adequate security tests and controls poses a great risk. As a result, institutions may face irreparable losses. In order to prevent these risks and losses, it is of great importance to keep third-party software up-to-date and to detect security vulnerabilities quickly. This is an important problem that institutions must overcome. In this study, the detection, analysis, management, control, reporting and integration with corporate software of vulnerabilities arising from software components are discussed. Hands-on work has been done on the Black Duck vulnerability check tool. As a result, the use of application security tools contributes to faster, more transparent and reliable results of audit and control activities and helps to effectively manage, control and audit security risks arising from application vulnerabilities. It also contributes to security and compliance, and offers advantages to businesses in areas such as agility, efficiency, profitability and competition with the effective use of resources. This study serves as a guide for information technology, internal control, risk and audit professionals and contributes to the literature.
Description
Keywords
Teknoloji ve yenilik , Üçüncü taraf yazılım , Zafiyet , Uygulama güvenliği , Denetim ve kontrol , Technology and innovation , 3rd party software , Vulnerability , Application security , Audit and control
Citation
Şahinaslan, O., Şahinaslan, E., Küçükali, E. (2023). Üçüncü taraf yazılım bileşenlerinden kaynaklanan zayıflıkların tespiti ve yönetimine ilişkin bir uygulama. Denetişim, 28, 53-74. https://doi.org/10.58348/denetisim.1225325