PCI Veri Güvenliği Standardı ve Obsolete Yazılımlar
 |
Bir süredir PCI standardının son güncellemeleri ile ilgili bir konuyu netleştirmeye çalışıyorum ama bir türlü netleştirmeyi beceremedim. Konuyu sorduğum hemen herkesin de kafasını ciddi şekilde karıştırdım, kimse net bir cevapla çıkamadı. Bir de günlüğüme yazayım dedim, bakalım yorumlar ile bir açılım sağlayabilecek miyiz… |
PCI veri güvenliği standardının güncel (1.1) sürümünün parçası belgelerin birisi Technical and Operational Requirements for ASVs. Bu belgede akredite tarama sağlayıcılarının uymaları gereken kurallar ve çalışma biçimi ile ilgili standartlar tarifleniyor. Belgenin 2-3 numaralı sayfasında Obsolete Software (Obsolete geçersiz / eskimiş / köhnemiş / terk edilmiş anlamları ile Türkçe’ye çevrilebiliyor) ile ilgili bir tarif var:
ASV’ler terk edilmiş ve üreticileri tarafından artık desteklenmeyen yazılımları (örneğin uygulama yazılımları ya da işletim sistemleri) belirlemeli ve bunları uyumlu değil (non-compliant) biçiminde raporlamalıdır. Terk edilmiş yazılımlar kuruluşların altyapısını güvenlik zafiyetlerine açık hale getirebilir.
Bunu okuyunca özgür yazılımların durumunun ne olacağını anlayabilen beri gelsin. Örneğin kuruluş Apache 2.2.0 kullanıyor, Apache’nin en yenisi de 2.2.6. Sizce eski sürüm Apache kullandığım için standarda uyumsuz sayılabilir miyim? Standart böyle anlaşılmaz olacak kadar yusyuvarlak mı yazılır Allah aşkına?
Ocak 17th, 2008 at 12:02 pm
The ASV must report and determine as non-compliant any identified obsolete software (for example, application software or operating systems (OSs) no longer supported by the respective manufacturers. Obsolete software may expose the infrastructure to a security-related vulnerability.
Bu tür konularda direk ingilizcesinden bakmak, anlam karmaşasını kaldırır diye düşündüğüm için direk ingilizcesini buraya da yapıştırmak istiyorum (ki sizin türkçeleştirmeniz yanlış anlamına gelmesin, sadece ilk kaynağından okumak daha yararlı).
Benim anladığım şu (sizin örneğinizle bütünleştireyim), örneğin Apache “biz bundan sonra 2.2.0 sürümü için herhangi bir güncelleme çıkarmayacağız” diyoyarsa, o noktada bu madde şunu söylüyor, “madem üretici artık bunun için yama/güncelleme çıkarmayacak, artık bu güvenli sayılmaz”.
Veya Ubuntu örneği vereyim; Ubuntu-7.10, 2009 yılına kadar desteklenecek bunun anlamı, 2009 yılına kadar bunun için güvenlik depoları güncellenecek ve siz de güvenlik açıklarını update edeceksiniz.
Ubuntu-6.06 ise, 2011 yılına kadar desteklenecek.
Yani belgeye göre, 2010 yılında Ubuntu-7.10 güvenli olmayan işletim sistemleri listesine alınmalı, ama Ubuntu-6.06 ise 2012 yılında güvenli olmayan işletim sistemleri listesine alınmalı.
(http://www.ubuntu.com/getubuntu/download adresinde sürümler ve hangi yıla kadar destekleneceği mevcut)
Bence belgedeki madde mantıklı, çünkü diyelim 2011 yılında bütün Ubuntu dağıtımlarını etkileyen bir açık çıktı, bu durumda Ubuntu-7.10′a artık destek verilmediği için bunun için bir güncelleme çıkmayacak ama Ubuntu-6.06 halen desteklendiği için buna uygun bir güncelleme çıkacak.