Komentar: Selama bertahun-tahun kami telah mencoba menangani keamanan di tingkat perusahaan atau organisasi. Proyek Alpha-Omega yang baru tampaknya mengambil pendekatan industri yang sesungguhnya, dan itu menjanjikan.
Keamanan selalu menjadi investasi yang tidak seksi yang cenderung lebih masuk akal di belakang daripada dalam perencanaan. Baru-baru ini, karena pelanggaran keamanan telah menjadi norma sehari-hari dan bukan pengecualian sesekali, perusahaan dan proyek sumber terbuka mulai memprioritaskan keamanan, meskipun hal itu masih kurang dalam proses pengembangan perangkat lunak kami.
Cakupan keamanan yang harus dibaca
Masalah dengan pendekatan ini adalah bahwa ia tetap atomistik, terfragmentasi. Seperti disebutkan dalam artikel ZDNet baru-baru ini, “Keadaan keamanan sangat tidak merata di seluruh industri, dengan keamanan yang cukup baik di beberapa vendor teratas, tetapi sebagian besar … kekurangan investasi keamanan dasar.” Ini tidak penting. Keamanan bukanlah sesuatu yang dapat dilakukan oleh satu perusahaan atau proyek sendiri. Ini pada dasarnya adalah urusan komunitas.
Itulah sebabnya saya menemukan beberapa berita terbaru dari Linux Foundation (LF) yang menggembirakan… justru karena ini bukan tentang Linux Foundation. Atau tidak secara eksklusif, yaitu.
Berita di balik berita
Ada dua hal yang diumumkan. Pertama, Open Source Security Foundation (OpenSSF), yang beroperasi di bawah LF, menambahkan 20 anggota lagi ke daftarnya. Apa yang dilakukan para anggota ini? Seolah-olah, mereka “membantu mengidentifikasi dan memperbaiki kerentanan keamanan dalam perangkat lunak sumber terbuka dan mengembangkan alat yang ditingkatkan, pelatihan, penelitian, praktik terbaik, dan praktik pengungkapan kerentanan.” Dalam praktiknya, banyak dari perusahaan ini hanya ingin menunjukkan kepedulian mereka terhadap keamanan, tetapi kebaikan nyata juga datang dari organisasi semacam itu.
Sebagai contoh, saya berasumsi bahwa sementara OpenSSF sekarang memiliki total 60 anggota, kemungkinan kenyataannya adalah bahwa beberapa anggota kunci (pikirkan Google dan Microsoft dalam kasus ini) akan menugaskan pengembang untuk berkolaborasi erat dengan anggota OpenSSF lainnya untuk meningkatkan keamanan di sekitar proyek sumber terbuka untuk menghindari skenario seperti kerentanan Log4j.
Dengan kata lain, beberapa organisasi mampu berinvestasi dalam keamanan dan memiliki sumber daya ahli untuk melakukannya. Semua orang diuntungkan saat mereka membagikan informasi tersebut secara terbuka di forum komunitas.
Aspek kedua dari pengumuman LF ini bisa dibilang lebih menarik. OpenSSF juga mengumumkan Proyek Alpha-Omega, sebuah proyek yang mencoba mengidentifikasi semua perpustakaan dan paket perangkat lunak sumber terbuka paling kritis dan mendasar di dunia dan mengauditnya dan kemudian mendukungnya jika diperlukan. Dari rilis:
“Proyek ini meningkatkan keamanan rantai pasokan OSS global dengan bekerja sama dengan pengelola proyek untuk secara sistematis mencari kerentanan baru yang belum ditemukan dalam kode sumber terbuka, dan memperbaikinya. "Alpha" akan bekerja dengan pengelola proyek sumber terbuka paling penting untuk membantu mereka mengidentifikasi dan memperbaiki kerentanan keamanan dan meningkatkan postur keamanan mereka. “Omega” akan mengidentifikasi setidaknya 10.000 proyek OSS yang diterapkan secara luas di mana ia dapat menerapkan analisis keamanan otomatis, penilaian dan panduan perbaikan ke komunitas pengelola open source mereka.”
Didanai oleh $ 5 juta awal dari Microsoft dan Google, dan didukung oleh Universitas Harvard dan LF, sensus proyek sumber terbuka ini membantu perusahaan saat mereka menyusun tagihan perangkat lunak mereka, sebagaimana diamanatkan oleh perintah eksekutif AS. Seperti yang dicatat oleh penulis sensus, daftar yang mereka susun “mewakili perkiraan terbaik kami tentang paket FOSS [perangkat lunak bebas dan sumber terbuka] mana yang paling banyak digunakan oleh aplikasi yang berbeda, mengingat batas waktu dan luasnya, tetapi tidak lengkap , data yang telah kami kumpulkan.”
Ini adalah awal yang mengesankan untuk pekerjaan yang sangat dibutuhkan, dan tidak berfokus pada proyek perangkat lunak organisasi tertentu.
Dan itulah berita sebenarnya. Bukan perintah eksekutif. Bukan keterlibatan Google/Microsoft. Bahkan LF tidak menangani inisiatif lintas industri. Tidak, berita sebenarnya adalah bahwa keamanan lebih besar daripada organisasi perdagangan seperti LF. 10.000 proyek sumber terbuka yang LF bantu katalogkan? Sebagian besar tidak duduk di bawah lingkup LF. Atau milik Google. Atau Microsoft. Atau [masukkan nama organisasi apa pun].
Keamanan memengaruhi semua orang, tetapi kami telah mencoba mengatasinya sedikit demi sedikit. Dari posting yang ditulis oleh pemimpin Proyek Alpha-Omega dan Profesor Harvard Frank Nagle, banyak pekerjaan diperlukan untuk meningkatkan postur keamanan perangkat lunak sumber terbuka di seluruh proyek. Misalnya, tidak ada skema penamaan standar di seluruh proyek sumber terbuka, yang menyebabkan kebingungan:"Tidak ada badan terpusat untuk mengoordinasikan nama komponen FOSS, dan dengan demikian dapat ada beberapa komponen yang memiliki nama yang sama tetapi bukan komponen yang sama." Kami telah menunjukkan bahwa pengembang open-source dapat memperbaiki masalah dengan cepat saat muncul (mungkin lebih cepat dari siapa pun), tetapi dapatkah kita bersatu untuk menyusun proyek dengan cara yang sama sehingga beberapa masalah keamanan yang tidak perlu dapat dihindari?
Alpha-Omega adalah awal yang baik untuk mencoba menyelesaikan masalah seperti itu di seluruh industri, daripada sedikit demi sedikit. Setelah Heartbleed, kami memiliki ambisi yang sama untuk mengatasi masalah keamanan kami. Semoga kali ini benar-benar berbeda … dan komunal.
Pengungkapan:Saya bekerja untuk MongoDB tetapi pandangan yang diungkapkan di sini adalah milik saya .
Tautan sumber