Yazılım zinciri koptuysa, suç kimde?

SBOM dediler, merkezden dağıtalım dediler... Peki işe yarayacak mı? Seul'de işler kızıştı bile

Seul’de birileri elini taşın altına koymuş. AT Center, öyle sıradan bir ticaret salonu değil; 7-8 Haziran’da yazılımın kara kutusu burada açıldı. Adı teknik ama mevzu net: Yazılımların tedarik zinciri güvenliği. Yani hepimizi ilgilendiriyor. Sen hâlâ ‘o işlere IT’ciler bakar’ sanıyorsan, uyan artık. Modern savaş sahaları artık Excel dosyalarının arasında kuruluyor çünkü.

Sparrow adlı şirketin düzenlediği bu atölyede, Türkiye’de hâlâ ‘ihale mi bu?’ muamelesi gören SBOM’larla1 kasıla kasıla çözüm önerdi. İsmi havalı. Yazılım Bileşen Listesi. Yani cihazına giren çıkan her kütüphaneyi, paketi, içeriği raporladığın sistem. Fast food menüsünde ‘içeriğinde ne var?’ diye sormak gibi ama teknolojik ve… bolca devlet baskılı.

Atölye, akademiyi, sanayiyi ve o klasik ‘ilgili kurumları’ bir araya getirdi. Orkestra çok ama nota hâlâ acemice. ‘Gelin güvenliği birlikte yazalım’ dediler, ama kimin kalemi oynuyor belli değil. Yani olay biraz ‘herkes üstüne alınmasın, ama herkes elini çeksin’ gibi ilerliyor.

Sparrow’dan Yun Jong-won da sahne aldı tabii. Bildirisi şuydu, tedarik zinciri, korsanların favorisi oldu. Çünkü sistemdeki en küçük açık, arka kapıdan içeri süzülen çakma yazılımcıya dünyaları sunuyor. SBOM’larla bu iş kapanır mı? Belki. Ama burada asıl satılmak istenen şey bir çözümden çok bir standart. Ve biz biliriz; standart varsa, mutlaka fiyat etiketi de vardır 💸

Oturumlarda bol bol ‘küresel eğilimler’den bahsedildi. Ama herkes Seul dışına çıkmadan konuştu. Yerli teknolojiler dendi, ama Amerikan yazılımları ekrana yansıdı. E hadi buyurun buradan yakın. Tedarik zincirinde yerli malı haftası geçeli çok oldu çünkü.

Velhasıl kelam, tam bir çözüme hâlâ kilometreler var. Ama herkesin cebinde bir fikir var. ‘Belki çalışır’ diye başlayan fikirler, ‘belki patlamaz’ diye bitiyor. Erken uyarı sistemleri, güvenlik duvarları, AI destekli analizler… Hepsi var ama henüz sadece sunum slaytlarında.

Devlet? Her zamanki gibi etkinlikte var, çözümde yok. Kırmızı kurdeleyi kesip ‘önemli bir alan’ dediler. Alkışladık. Ama sorun şu, SBOM yaratmak kolay, samimiyet yaratmak daha zor.

Şimdi senin yapman gereken ne mi? En azından şu SBOM sözcüğünü unutma. Yakında biri sana ‘Sen yazılım tedarik zincirinde şeffaf mısın?’ diye sorarsa hazırlıksız yakalanma. Ne de olsa ‘bilgi sahibi olmadan fikir sahibi olunmaz’ lafı eskimedi 😉

Çok uzatmayayım, yazılım sahnesi gittikçe politikleşiyor. Ama merak etme, kurdu bile çökertecek güncelleme geliyor… tabii sunulursa.

Dipnotlar

[1] SBOM (Software Bill of Materials): Bir yazılım ürününün içinde hangi bileşenlerin ve yazılım parçalarının yer aldığını açıkça listeleyen bir belge ya da sistem. Tedarik zinciri güvenliğini artırmak için kullanılıyor.

emrehakan

Algoritmaların susturamadığı bir ses. Gündemin gürültüsünde pür net, ne akıma kapılır ne moda yazar. Anı yakalamaz, onun üzerine not düşer. Evet "NOT".