Google memberikan dukungan besar pada usulan kerangka kebijakan yang dipimpin pemerintah AS yang bertujuan untuk menopang keamanan perangkat lunak sumber terbuka, dan mendesak sektor swasta untuk mendukung inisiatif tersebut.
Undang-Undang Pengamanan Perangkat Lunak Sumber Terbuka diperkenalkan di Senat bulan lalu [PDF]
adalah rancangan undang-undang bipartisan yang akan menciptakan cetak biru keamanan dan mitigasi risiko untuk penggunaan perangkat lunak sumber terbuka oleh pemerintah federal.
“Kami senang melihat penekanan berkelanjutan terhadap pentingnya keamanan perangkat lunak sumber terbuka dari pemerintah AS, dan kami berharap organisasi publik dan swasta akan mengikuti jejak mereka untuk mendorong peningkatan keamanan siber bagi ekosistem secara luas,” kata Royal Hansen , wakil presiden teknik untuk tim kepercayaan dan keselamatan Google, dalam sebuah Entri blog 27 Oktober.
Kode perangkat lunak sumber terbuka, yang merupakan landasan yang tersedia secara gratis untuk semua jenis aplikasi, pada dasarnya adalah mesin yang menggerakkan perusahaan digital modern. Tapi jahat aktivitas cyber terhadap rantai pasokan perangkat lunak telah berkembang pesat dalam beberapa kuartal terakhir, dari SuryaAngin
untuk Log4Shell
hingga banyaknya proyek dan paket berbahaya dan beracun yang bermunculan secara tepercaya repositori kode seperti npm.
Hansen mencatat bahwa “pertanyaan yang tampaknya sederhana tentang rantai pasokan sumber terbuka masih sulit dijawab,” termasuk:
- Apakah suatu proyek mengandung kerentanan yang diketahui?
- Apakah pengelola proyek dan komunitas mengikuti praktik terbaik keamanan selama pengembangan perangkat lunak?
- Ketergantungan sumber terbuka apa yang merupakan bagian dari perangkat lunak tertentu?
- Seberapa amankah rantai pasokan distribusi?
Google telah secara aktif mengatasi masalah ini, melalui inisiatif seperti memperluas upaya bug-bounty-nya ke sumber terbuka. Industri ini telah memperjuangkan pendekatan seperti ini tagihan material perangkat lunak (SBOM) dan peninjauan kode otomatis untuk membantu menangkap bagian-bagian yang rentan sebelum menyebar terlalu jauh ke seluruh lanskap. Google dan raksasa teknologi lainnya juga telah menginvestasikan jutaan dolar ke organisasi nirlaba dan yayasan perangkat lunak seperti Google Yayasan Keamanan Sumber Terbuka untuk mendukung pembuat sumber terbuka. Di sisi kebijakan, pemerintah AS sudah melakukannya menganut SBOM untuk agensi, di antara langkah-langkah lainnya.
Jika undang-undang federal yang baru ini disahkan, maka akan mendorong lebih banyak kemitraan publik-swasta, dan membawa sektor publik ke meja perundingan dengan cara yang lebih bermakna, menurut raksasa teknologi ini.
“Mengamankan perangkat lunak sumber terbuka adalah tanggung jawab bersama, dan kami berharap dapat melanjutkan kolaborasi dalam mengatasi masalah yang mendesak dan kritis ini,” kata Hansen.
