Yazılım uzmanları bir programda sisteminize bir ağ geçidi açabilecek bir güvenlik tespit ettiğinde kusuru açık bir şekilde adlandırmanız ve herkesin bakabileceği standart bir veri tabanına kaydetmeniz gerekir.
Böyle bir durum 1999'dan beri ABD'ye katkıda bulunan kuruluş MITER tarafından sürdürülen "Ortak Güvenlik Açıkları ve Maruziyetler" veri tabanı olabilir. Yıllar geçtikçe her bir hatayı listeleyen CVE olarak bilinen bir standart haline geldi, kaydedildi. Katalog kitle iletişim araçlarına girenler de dahil olmak üzere 147.000'den fazla hatayı kaydeder. Örnekler arasında Intel’i özellikle 2017 ve 2018’in başında rahatsız eden Spectre ve Meltdown veya birkaç yıl sonra uzmanların şifrelenmiş ve yaygın olarak kullanılan OpenSSL teknolojisinde ciddi bir kusur bulmasıyla paniğe neden olan Heartbleed sayılabilir.
Üstte olmak otomatik olarak X'in yazılım yazamayacağı ve Y'nin her şeyden daha sızıntılı olduğu anlamına gelmez. Aksine, özellikle büyük şirketler için geçerli olan kodun kaliteli bir iç ve dış denetiminin kanıtı olabilir. Kısacası tüm bu büyük şirketler çok sayıda kritik program geliştirdiğinden ve mümkün olan en büyük kontrole tabi olmak tüm BT topluluğunun çıkarına olduğundan yıllık istatistiklere genellikle Microsoft, Google vb. hakimdir.
Örneğin biri Windows veya Android'in arka kapısını açabilecek kritik bir güvenlik açığı tespit ederse bu iyi bir haberdir çünkü iyi bir bilgisayar korsanı hatayı belgeleyebilir, yayınlayabilir ve ardından yazar hatayı düzeltebilir. Kötü bir bilgisayar korsanı artık onu kötüye kullanamaz.
Elbette hata olmasaydı harika olurdu ancak bugünün kodunun karmaşıklığı göz önüne alındığında bu neredeyse imkansızdır. Bu yüzden uzmanlar bu hataları bulmalı ve düzeltmelidir.
Türetilmiş NVD veri tabanı -Ulusal Güvenlik Açığı Veri tabanı- bildirilen tüm CVE güvenlik açıklarını da içeren aşağıdaki sıralamalar için kullanılmıştır. 2020 yılının en sağlıklı şirketleri arasında hangi şirketleri sıralayabiliriz?
Şimdiye kadar en sık Microsoft ve Cisco ile karşılaşabilirsiniz ancak ilk on beşte diğer büyük yazılım isimlerinin çoğu da eksik. Parantez içindeki rakam bu üreticinin 2020 yılında etkilenen ürünlerde görülme sayısıdır.
Microsoft (14.299)
Cisco (11.885) Juniper Nets (8.055)
Intel (5.978)
VMware (3.695)
Qualcomm (3.648)
Oracle (3.398)
F5 Ağları (3.078)
HP (1.971)
Net dişli (1.738)
Google (1.502)
IBM (1.290)
Apple (1.237)
Adobe (1.186)
CData (1.120)
Bir sonraki sıralamada ürün isimleri yazarlar tarafından değiştirilir. Bu güvenlik açığından etkilenen ürünler listesinde en sık Android işletim sistemine rastlarsak ikinci sıralamamızda da hüküm sürecek demektir.
Ancak biraz farklı çıktı ve 2020'de NIST'in kataloğunda en çok alıntı yapılan ürün FreeBSD'ye dayanan ve Juniper'in kurumsal ağ öğelerini kontrol eden Juniper Junos'un özel işletim sistemiydi. Ancak Windows 10 zaten ikinci sırada yer alırken Android de aşağıdaki listede yer almıyor.
Ardıç Junos (7.998)
Microsoft Windows 10 (5.709)
Cisco IOS (5.473)
VMware ESXi (3.448)
Cisco IOS XE (3.276)
Microsoft Windows Server 2016 (2,979)
HP Akıllı Yönetim Merkezi (1.651)
Oracle OpenJDK (1.393)
Google Android (1.192)
Microsoft Windows Server 2008 (910)
Microsoft Windows Sunucusu 2012 (851)
Microsoft Windows Sunucusu 2019 (779)
Gitlab Gitlab (635)
Cisco NX-OS (556)
Symantec Uç Nokta Koruması (54)
Popüler bir üründe kritik bir kusurun keşfi her zaman olumsuz bir sansasyon yaratsa da ve ilk bakışta tam olarak en iyi reklam olmasa da daha genel olarak bir bakıma iyi bir haberdir. Belgeleme ve tazminat, saldırganların dolandırıcılıklarını kötüye kullanma biçimini azaltır.