Yazılım güvenliği alanında önemli bir araç olan SBOM (Software Bill of Materials - Yazılım Malzeme Listesi) sistemlerinin etkinliği, yeni bir araştırmayla ciddi şekilde sorgulanıyor. arXiv'de yayınlanan çalışma, 2.414 açık kaynak kod deposunu analiz ederek yazılım güvenlik taramalarındaki kritik sorunları gün yüzüne çıkarıyor.
Araştırma ekibi, güvenlik tarayıcılarının %92 gibi dramatik bir yanlış pozitif oranına sahip olduğunu keşfetti. Bu durum, güvenlik ekiplerinin gerçek tehditler yerine büyük oranda yanlış alarmlarla uğraşmak zorunda kaldığı anlamına geliyor. Sorunun temel nedenini araştıran bilim insanları, tarayıcıların erişilemeyen kod parçalarındaki güvenlik açıklarını da tehdit olarak işaretlemesinin ana faktör olduğunu belirledi.
Olumlu tarafta, araştırma güçlü paket yöneticilerinin kilit dosyalarını kullanarak doğru ve tutarlı SBOM'lar oluşturulabileceğini kanıtlıyor. Bu yaklaşım, güvenlik analizleri için güvenilir bir temel oluşturabiliyor.
En önemlisi, araştırmacılar fonksiyon çağrı analizi tekniğinin bu yanlış alarmların %61.9'unu başarıyla elemeyebildiğini gösteriyor. Bu buluş, yazılım güvenliği alanında daha etkili tarama sistemleri geliştirilmesi için umut verici bir yol haritası sunuyor.