Perangkat Lunak Modern: Apa yang Sebenarnya Ada di Dalamnya?

Saat industri keamanan siber mendekati musim konferensi, sungguh luar biasa melihat anggota komunitas bersemangat untuk berbagi pengalaman. Orang mungkin berpendapat bahwa proses panggilan untuk pembicara menawarkan gambaran yang mendalam dan luas tentang apa yang ada di benak kolektif seluruh ekosistem keamanan siber. Salah satu topik diskusi paling menarik yang diamati dalam “Laporan Tren Pengiriman Panggilan RSAC 2023” ada di dalam dan di sekitar open source, yang telah menjadi lebih umum dan tidak terlalu tertutup daripada yang diamati sebelumnya. Perangkat lunak modern telah berubah, dan dengan itu muncul janji dan bahaya.

Apakah Ada yang Membuat Perangkat Lunaknya Sendiri Lagi?

Tidak mengherankan, profesional keamanan siber menghabiskan banyak waktu berbicara tentang perangkat lunak — bagaimana perangkat lunak dirakit, diuji, diterapkan, dan ditambal. Perangkat lunak memiliki dampak signifikan pada setiap bisnis, terlepas dari ukuran atau sektornya. Tlatihan dan praktik telah berkembang seiring dengan meningkatnya skala dan kompleksitas. Hasilnya, “Perangkat lunak modern lebih banyak dirakit daripada yang ditulis,” kata Jennifer Czaplewski, direktur senior di Target, tempat dia memimpin DevSecOps dan keamanan titik akhir; dia juga anggota komite program Konferensi RSA. Itu bukan sekedar opini. Perkiraan berapa banyak perangkat lunak di seluruh industri yang menyertakan komponen sumber terbuka — kode yang secara langsung menjadi sasaran serangan kecil dan besar — berkisar dari 70% hingga hampir 100%, menciptakan permukaan serangan yang besar dan bergeser untuk melindungi, dan area fokus kritis untuk rantai pasokan semua orang.

Rakitan kode menciptakan ketergantungan luas — dan ketergantungan transitif — sebagai artefak alami. Ketergantungan ini jauh lebih dalam daripada kode sebenarnya, dan tim yang menggabungkannya juga perlu lebih memahami proses yang digunakan untuk menjalankan, menguji, dan memeliharanya.

Hampir setiap organisasi saat ini memiliki ketergantungan yang tidak dapat dihindari pada kode sumber terbuka, yang telah mendorong permintaan akan cara yang lebih baik untuk menilai risiko, penggunaan katalog, melacak dampak, dan membuat keputusan berdasarkan informasi sebelum, selama, dan setelah memasukkan komponen sumber terbuka ke dalam kumpulan perangkat lunak.

Membangun Kepercayaan dan Komponen untuk Sukses

Open source bukan hanya masalah teknologi. Atau masalah proses. Atau masalah orang. Ini benar-benar meluas ke segala hal, dan pengembang, kepala petugas keamanan informasi (CISO), dan pembuat kebijakan semuanya berperan. Transparansi, kolaborasi, dan komunikasi di semua kelompok ini adalah kunci untuk membangun kepercayaan kritis.

Salah satu titik fokus untuk membangun kepercayaan adalah software bill of material (SBOM), yang semakin populer setelahnya Perintah eksekutif Presiden Biden Mei 2021. Kami mulai melihat pengamatan nyata dari manfaat terukur dari penerapannya, termasuk kontrol dan visibilitas aset, waktu respons yang lebih cepat terhadap kerentanan, dan manajemen siklus hidup perangkat lunak yang lebih baik secara keseluruhan. Traksi SBOM tampaknya telah melahirkan BOM tambahan, di antaranya DBOM (data), HBOM (perangkat keras), PBOM (saluran pipa), dan CBOM (keamanan siber). Waktu akan memberi tahu apakah manfaatnya lebih besar daripada tugas berat yang diberikan kepada pengembang, tetapi banyak yang berharap bahwa gerakan BOM dapat mengarah pada cara berpikir yang seragam tentang dan mendekati suatu masalah.

Kebijakan dan kolaborasi tambahan, termasuk Undang-undang Perangkat Lunak Sumber Terbuka Mengamankan, Tingkat rantai pasokan untuk kerangka kerja Artefak Perangkat Lunak (SLSA)., dan Kerangka Pengembangan Perangkat Lunak Aman (SSDF) NIST, tampaknya mendorong praktik yang membuat open source begitu umum — komunitas kolektif bekerja sama dengan tujuan memastikan rantai pasokan perangkat lunak yang aman secara default.

Fokus terbuka pada "kontra" seputar kode sumber terbuka dan manipulasi, serangan, dan penargetan telah melahirkan upaya baru untuk mengurangi risiko terkait, baik dengan proses dan laporan pengembangan, serta teknologi. Investasi dilakukan untuk menghindari menelan komponen berbahaya sejak awal. Introspeksi dan pembelajaran kehidupan nyata seputar pengembangan perangkat lunak, siklus hidup pengembangan perangkat lunak (SDLC), dan rantai pasokan secara keseluruhan sangat bermanfaat bagi komunitas pada tahap ini.

Nyatanya, open source bisa sangat bermanfaat… open source! Pengembang mengandalkan alat sumber terbuka untuk mengintegrasikan kontrol keamanan penting sebagai bagian dari integrasi berkelanjutan/pengiriman berkelanjutan (pipa CI/CD). Upaya berkelanjutan untuk menyediakan sumber daya, seperti Kartu skor OpenSSF, dengan janji penilaian otomatis, dan Kerangka Kerja Perangkat Lunak Open Source (OSS) Secure Supply Chain (SSC)., kerangka kerja yang berfokus pada konsumsi yang dirancang untuk melindungi pengembang dari ancaman rantai pasokan OSS dunia nyata, hanyalah dua contoh aktivitas menjanjikan yang akan mendukung tim saat mereka merakit perangkat lunak.

Lebih Kuat Bersama

Open source telah dan akan terus berlanjut mengubah permainan perangkat lunak. Ini telah memengaruhi cara dunia membangun perangkat lunak. Ini telah membantu mempercepat waktu ke pasar. Ini telah merangsang inovasi dan mengurangi biaya pengembangan. Bisa dibilang, itu berdampak positif pada keamanan, tetapi pekerjaan masih harus diselesaikan. Dan membangun dunia yang lebih aman membutuhkan kebersamaan desa untuk berbagi ide dan praktik terbaik dengan komunitas yang lebih besar.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-