Komunitas perangkat lunak sumber terbuka merilis rencana untuk meningkatkan keamanan aplikasi

Di bawah tekanan setelah ditemukannya beberapa kerentanan sumber terbuka termasuk Log4Shell, kelompok sumber terbuka dan perusahaan perangkat lunak terkemuka telah membuat rencana 10 poin untuk memastikan peningkatan berkelanjutan dalam keamanan kode sumber terbuka.

Rencana tersebut, yang dirilis Kamis dengan dorongan dari Gedung Putih, mencakup komitmen pendanaan sebesar US$30 juta dari Amazon, Google, Intel, Microsoft, dan VMware. Itu diumumkan oleh anggota senior dari Linux Foundation dan Open Source Security Foundation (OpenSSF).

Rencana tersebut “mewakili upaya kolektif terhadap 10 target berbeda di mana pekerjaan yang berarti dapat diterapkan untuk membuat peningkatan substansial dalam keadaan keamanan sumber terbuka,” Brian Behlendorf, manajer umum OpenSSF mengatakan kepada wartawan.

“Mereka harus dilihat sebagai draf pertama,” tambahnya, “dengan beberapa tujuan khusus untuk mengatasi masalah-masalah utama tersebut. Kami akan terus bekerja sama dengan para pemangku kepentingan. Sekarang publik kami juga akan mencari peserta baru dalam pengembangan lebih lanjut dari rencana itu.”

Proses secara resmi dimulai pada bulan Januari dengan pertemuan di Gedung Putih antara perusahaan perangkat lunak, pakar pemerintah AS, dan yayasan perangkat lunak sumber terbuka untuk menemukan cara mencegah cacat keamanan dan kerentanan agar tidak masuk ke kode sumber terbuka, meningkatkan penemuan dan perbaikan kerentanan, dan mempersingkat waktu respons untuk mendistribusikan dan mengimplementasikan perbaikan.

Perangkat lunak dan komponen sumber terbuka semakin banyak digunakan tidak hanya dalam aplikasi sumber terbuka tetapi juga dalam perangkat lunak komersial. Namun, banyak komponen dibuat oleh pengembang individu yang mengerjakan paket pada waktu mereka sendiri. Seringkali mereka tidak punya waktu, atau insentif finansial, untuk mencari atau menanggapi laporan kerentanan. Akibatnya beberapa bug serius dapat mengintai di perangkat lunak selama bertahun-tahun.

Kerentanan di perpustakaan logging Log4j2 hanyalah contoh terbaru.

Rencana Mobilisasi yang dirilis Kamis adalah serangkaian 10 apa yang disebut aliran aktivitas yang diusulkan untuk memenuhi tiga tujuan yang ditetapkan dalam pertemuan Januari.

Salah satu target penting adalah untuk meningkatkan kemampuan pengembang untuk membuat perangkat lunak bill of material (SBOM) untuk setiap proyek sehingga pengguna aplikasi dapat menemukan dan menambal kode ketika kerentanan ditemukan.

“Perangkat lunak beralih dari pikiran pengembang ke sistem kontrol versi ke manajer paket ke sistem pembangunan ke konsumen,” kata Jim Zemlin, direktur eksekutif Yayasan Linux. “Yang penting adalah membangun perangkat lunak di setiap titik yang mengotomatiskan likuiditas tagihan perangkat lunak metadata material sehingga mengalir tanpa hambatan.”

Dalam dua dekade terakhir “kami memiliki banyak kasus di mana kerentanan dalam komponen open source telah menimbulkan risiko dramatis bagi masyarakat luas,” katanya. “Heartbleed pada tahun 2014, terakhir Log4j2, menempatkan kita semua dalam risiko. Kita semua menghabiskan banyak waktu untuk memperbaiki hal-hal ini. Pada periode itu kami secara sistematis mencoba untuk mendapatkan bantuan kepada ratusan ribu pengembang sumber terbuka yang ada di luar sana dan kepada para pemimpin yang bertanggung jawab atas komponen penting dalam rantai pasokan sumber terbuka untuk membantu meningkatkan dasar keamanan. Hari ini adalah pertama kalinya saya melihat rencana yang dapat ditindaklanjuti dengan tujuan nyata, tapi [also] yang paling penting adalah keinginan industri untuk menawarkan bantuan itu dengan cara yang berarti.

“Urgensi di sini tidak bisa lebih besar,” tambah Zemlin. “Musuh semakin canggih. Serangan rantai pasokan lebih sering terjadi dan konflik dunia maya meningkat di seluruh dunia.”

Meskipun ada komitmen sebesar US$30 juta untuk membantu mendanai streaming, pembuat rencana berpendapat bahwa dibutuhkan US$150 juta untuk mencapai target.

Secara singkat aliran-aliran tersebut adalah:

• untuk memberikan pendidikan dan sertifikasi pengembangan perangkat lunak dasar yang aman dengan meningkatkan materi pelatihan sehingga dapat dianggap sebagai standar industri dan digunakan dalam kursus dan sertifikasi;
• membuat dasbor penilaian risiko publik, netral vendor, objektif, berbasis metrik untuk hingga 10.000 komponen perangkat lunak sumber terbuka;
• mempercepat adopsi tanda tangan digital pada rilis perangkat lunak sehingga pengembang dan pengguna akhir dapat memverifikasi komponen yang mereka gunakan tidak dikompromikan;
• menghilangkan akar penyebab banyak kerentanan melalui penggantian bahasa yang tidak aman untuk memori seperti C dan C++ dengan bahasa seperti Go dan Rust;
• membentuk OpenSSF Open Source Security Incident Response Team, mungkin hingga 40 ahli yang akan membantu pengembang ketika menanggapi kerentanan. Mereka dapat bekerja penuh waktu selama beberapa hari atau minggu untuk membantu memperbaiki bug yang serius;
• mempercepat penemuan kerentanan baru oleh pengelola dan pakar melalui alat keamanan canggih dan panduan pakar;
• melakukan tinjauan kode pihak ketiga, dan setiap pekerjaan perbaikan yang diperlukan, hingga 200 komponen perangkat lunak sumber terbuka paling penting setahun sekali;
• mengoordinasikan berbagi data di seluruh industri untuk meningkatkan penelitian yang membantu menentukan komponen perangkat lunak sumber terbuka yang paling penting;
• meningkatkan perangkat dan pelatihan perangkat lunak bill of material (SBOM) untuk mendorong penggunaannya di mana-mana. Tagihan materi perangkat lunak akan membantu departemen TI mencari tahu apa yang ada dalam aplikasi yang mereka gunakan dan mengukur risiko jika ditemukan kerentanan;
• tingkatkan 10 sistem pembuatan perangkat lunak sumber terbuka paling penting, manajer paket, dan sistem distribusi dengan alat keamanan rantai pasokan dan praktik terbaik yang lebih baik.

Satu masalah, kata beberapa ahli, adalah bahwa pengembang proyek open source gratis kecil tapi kritis yang mereka buat di waktu luang mereka tidak memiliki insentif finansial untuk menghabiskan waktu ekstra untuk menemukan bug dan mengeluarkan perbaikan. “Tidak ada solusi sederhana,” kata Zemlin. Salah satu kemungkinannya adalah pemberi kerja memberikan waktu kepada pengembang ini selama pekerjaan harian mereka untuk memperbaiki proyek mereka. Tetapi beberapa kasus pendanaan langsung ke pengembang untuk mempertahankan proyek-proyek penting harus diperhatikan, katanya.