Geçtiğimiz yıl yapılan bir güvenlik denetimi, üretim ortamımızda ciddi bir sorunu gün yüzüne çıkardı: Node.js 16 kullanıyorduk. Bu sürüm, aylardır destek süresi dolmuş olmasına rağmen hiçbir ekip üyesi tarafından fark edilmemişti. İşin en ironik yanı ise, herhangi bir aktif siber saldırıya maruz kalmamış olmamız — henüz. Fakat açık kaynaklı zafiyetlerin (CVE) birikmeye devam ettiği ve bunların hiçbirinin düzeltilemeyeceği gerçeği, giderek büyüyen bir risk oluşturuyordu.
Sorunun en can sıkıcı yanı, kimsenin Node.js 16’nın destek süresinin dolduğundan haberdar olmamasıydı. Ne otomatik uyarılar vardı ne de takımın dikkatini çekecek bir sistem. Üstelik bu durum, sadece bizim ekibimizin yaşadığı bir deneyim değildi — birçok geliştirici ve sistem yöneticisi benzer bir sorunla karşılaşmıştı.
EOL takibi için basit bir araç arayışı
Aradığım şey, kullanılan teknoloji yığınını basitçe tanımlayabileceğim ve destek süresi dolmak üzere olan sürümler ya da yeni keşfedilen kritik CVE’ler hakkında anında uyarı alabileceğim bir araçtı. Fakat piyasada böyle bir çözüm bulamadım. Mevcut araçların çoğu ya GitHub deposuna bağlanmayı, bir ajan kurulumu yapmayı ya da temel uyarılar için ücret talep etmeyi gerektiriyordu. Bu da beni kendi çözümümü geliştirmeye yöneltti.
EOLCanary, 459 farklı teknoloji için destek süresi (EOL) tarihlerini ve CVE verilerini izleyen bir platform olarak doğdu. Node.js, Redis, PHP, PostgreSQL, Ubuntu, Kubernetes ve daha birçok teknoloji artık destek süresi dolmadan önce sizi uyarabiliyor. En önemli avantajıysa herhangi bir ajan kurulumuna ya da depo bağlantısına gerek duymaması. Tek yapmanız gereken, kullandığınız teknoloji yığınına dair bilgileri tanımlamak.
Açık kaynaklı verilerle şeffaf izleme
Destek süresi verileri için endoflife.date adlı harika bir açık kaynak projesini temel aldım. Bu platform, herhangi bir teknolojinin destek süresinin ne zaman sona ereceğini hızlıca öğrenmek için mükemmel bir araç. Ancak ben, bu projenin eksik bıraktığı iki önemli özelliği eklemek istedim:
- Sürüm bazlı CVE takibi: Her gün NVD (Ulusal Güvenlik Veritabanı) verilerinden CVE’leri çekerek EPSS puanları ve CISA KEV göstergeleriyle zenginleştiriyorum. EPSS puanı, bir CVE’nin gelecek 30 gün içinde exploit edilme olasılığını gösteriyor — bu da basit bir CVSS puanından çok daha eyleme geçirilebilir bir bilgi sunuyor. KEV listesi ise aktif olarak exploit edilen zafiyetleri içeriyor. Eğer yığınımızda bu listede yer alan bir zafiyet varsa, risk artık teorik değil, gerçek.
- Kişiselleştirilmiş uyarılar ve kontrol paneli: Kullanıcılar, hesap oluşturarak kullandıkları altyapıyı (örneğin Node 20, Redis 7, Ubuntu 22.04) tanımlıyor ve EOLCanary otomatik olarak izlemeye başlıyor. Destek süresi dolan bir sürüm, yeni bir CVE keşfi ya da bir bağımlılığın KEV listesine eklenmesi durumunda anında uyarı alıyorsunuz. Başlangıçta e-posta yoluyla gönderilen bildirimler, ilerleyen dönemde Slack ve webhook’lar aracılığıyla da yapılacak.
Kullanımı ne kadar basit?
Sistemin çalışma prensibi oldukça basit: Bir hesap oluşturuyor, kullandığınız uygulamaların ve bileşenlerin sürümlerini giriyorsunuz. Gerisini EOLCanary hallediyor. Örneğin, Node.js 16’nın destek süresi dolmak üzereyse ya da Redis 6.2’de yeni bir CVE yayınlandıysa, anında bilgilendiriliyorsunuz. Hiçbir karmaşık kurulum ya da entegrasyon gerektirmiyor — sadece bir liste ve önemli uyarılar.
Platformun beta aşamasında olduğu şu günlerde siteye erişim ücretsiz. Yakın zamanda yığın izleme ve uyarı sistemleri de hizmete sunulacak. Eğer siz de üretim ortamınızdaki teknolojilerin destek sürelerini ve güvenlik açıklarını manuel olarak takip etmek yerine otomatik bir çözüm kullanmak istiyorsanız, EOLCanary tam size göre olabilir.
Geleceğe dair düşünceler
Üretim ortamlarında kullanılan teknolojilerin destek sürelerini ve güvenlik açıklarını takip etmek, genellikle gözden kaçan ancak kritik öneme sahip bir süreç. Manuel kontroller zaman alıcı ve hatalara açık olabilirken, otomatik çözümler hem zaman kazandırıyor hem de riskleri minimize ediyor. EOLCanary’nin bu alandaki boşluğu doldurmayı hedeflediğini söylemek mümkün.
Eğer siz de bir üretim altyapısını yönetiyorsanız ve bu yaklaşımın sizin için ne kadar faydalı olabileceğini düşünüyorsanız, denemekten çekinmeyin. Platform hakkında görüşlerinizi paylaşabilir, sistemin geliştirilmesine katkıda bulunabilirsiniz. Belki de gelecekte, destek süresi dolmuş teknolojilerin yol açtığı sorunlar, artık sadece birer uyarı mesajından ibaret kalacak.
Yapay zeka özeti
Node.js 16 destek süresi dolduğunu fark etmemenin bedelini gören bir geliştirici, EOLCanary ile üretimdeki teknoloji yığınınızı otomatik olarak izleyin.
