Kerentanan dalam komponen sumber terbuka — seperti kelemahan yang tersebar luas yang terungkap 10 bulan lalu di Log4j 2.0 — telah memaksa ilmuwan data untuk mengevaluasi kembali kode sumber terbuka yang sering digunakan dalam analisis dan pembuatan model pembelajaran mesin.
Menurut sebuah laporan oleh Anaconda, sebuah perusahaan platform ilmu data, pada tahun lalu, 40% dari ilmuwan data, analis bisnis, dan mahasiswa yang disurvei telah mengurangi penggunaan komponen open source, sementara sepertiga tetap stabil, dan hanya 7 % memasukkan lebih banyak kode sumber terbuka ke dalam proyek mereka. Mayoritas dari mereka yang disurvei tidak melapor ke departemen teknologi informasi (18%), tetapi bekerja di dalam kelompok ilmu data atau penelitian dan pengembangan mereka sendiri (47%), menurut Anaconda's “2022 Negara Ilmu Data” laporan, dirilis minggu lalu.
Sementara pengembang perangkat lunak dan TI sudah mulai memeriksa kode aman, kekhawatiran atas keamanan dalam perangkat lunak open source adalah tren yang relatif baru untuk dunia ilmu data, kata Peter Wang, salah satu pendiri dan CEO Anaconda.
“Kami melihat sebagian besar orang yang berada di organisasi di mana TI telah menciptakan postur yang sangat ketat di sekitar open source dan Python,” katanya. “Ini bukan pengembang ahli. … Mereka adalah ilmuwan data dan orang-orang pembelajaran mesin yang mungkin sama sekali bukan pengembang yang berpengalaman, menggunakan apa pun yang dapat mereka unduh untuk melakukan analisis, dan kemudian mereka menyerahkannya kepada TI.”
Keamanan komponen open source — dan rantai pasokan perangkat lunak, secara umum — telah menjadi pertimbangan utama di antara pengembang perangkat lunak, bisnis, dan pemerintah nasional selama dua tahun terakhir. Pada bulan Mei, misalnya, Institut Standar dan Teknologi Nasional AS (NIST) panduan yang dikeluarkan untuk mengatasi risiko rantai pasokan perangkat lunak. Selain itu, semakin banyak vendor perangkat lunak telah bergabung dengan Open Software Security Foundation (OpenSSF) Yayasan Linux.
Secara keseluruhan, kematangan upaya keamanan organisasi telah meningkat. Sekitar setengah dari perusahaan memiliki kebijakan keamanan sumber terbuka, yang mengarah pada kinerja yang lebih baik dalam ukuran kesiapan keamanan, menurut survei bulan Juni. Selain itu, upaya pengendalian risiko open source telah melonjak 51% dalam 12 bulan terakhir, sebuah studi tentang kematangan keamanan menyatakan pada 21 September.
“[Dengan] perhatian yang diberikan pada rantai pasokan perangkat lunak, sebagian besar organisasi perusahaan mengambil pendekatan berbasis risiko untuk keamanan aplikasi,” Jason Schmitt, manajer umum Synopsys Software Integrity Group, mengatakan dalam sebuah pernyataan yang mengumumkan penelitian tersebut. “Pendekatan seperti itu mengakui bahwa keamanan tidak terbatas pada basis kode; itu mencakup proses pengembangan perangkat lunak di mana tinjauan keamanan dan pengujian 'bergeser ke mana-mana' untuk terus meningkatkan hasil keamanan.”
Pengembang Perluas Penggunaan Open Source
Perusahaan perangkat lunak tidak melihat penurunan apa pun dalam penggunaan sumber terbuka, menurut data lain. Sebaliknya, organisasi pengembangan berfokus pada peningkatan keamanan perangkat lunak sumber terbuka dan menggunakan keamanan sebagai panduan utama dalam memilih komponen.
Dalam "2021 Keadaan Rantai Pasokan Perangkat Lunak” laporan, misalnya, Sonatype menemukan bahwa empat ekosistem open source teratas — Maven Central Repository (Java), Node.js (JavaScript), Python Package Index (Python), dan NuGet gallery (.NET) — menampung 37 juta proyek dan komponen open source, meningkat 20% dari tahun ke tahun. Permintaan untuk komponen tersebut juga meningkat: Lebih dari 2.2 triliun komponen diunduh, peningkatan tahunan 73%.
Perpindahan yang dilaporkan sendiri dari paket open source oleh komunitas ilmu data kemungkinan menunjukkan kesadaran yang lebih besar tentang masalah keamanan dan lebih sedikit tentang membuang komponen open source dalam pengembangan, kata Tracy Miranda, kepala open source di Chainguard.
Sementara tim ilmu data dan tim pengembangan mungkin bereaksi berbeda terhadap masalah keamanan utama — seperti Log4j 2.0 — perusahaan memiliki sedikit jalan keluar ketika beralih dari satu paket open source daripada mengadopsi paket lain yang pengelolanya lebih menekankan pada keamanan, katanya.
“Perusahaan memanfaatkan open source sebagai cara untuk meningkatkan kecepatan mereka, jadi jika mereka melakukan penskalaan, untuk apa mereka melakukan penskalaan? Menulis kode di rumah? Menggunakan versi pihak ketiga yang dikemas?” Miranda mengatakan, menambahkan bahwa sebagai gantinya, "Saya pikir kita dapat berharap untuk melihat perusahaan lebih cerdas tentang kualitas sumber terbuka yang mereka gunakan, terutama yang terkait dengan fitur keamanan."
Ilmuwan Data Sedang Mengejar
Putusnya hubungan antara kedua belah pihak kemungkinan disebabkan oleh perbedaan audiens dalam berbagai survei. Survei Anaconda berfokus pada profesional ilmu data, seperti yang terlihat dari pilihan bahasa pemrograman responden — 58% menggunakan Python dan 42% menggunakan SQL, sementara hanya 26% menggunakan JavaScript.
Ukuran sentimen pengembang perangkat lunak yang lebih baik adalah "Survei Pengembang 2022,” yang menemukan bahwa meskipun 58% 'orang yang belajar coding' menggunakan Python, hanya 44% pengembang profesional yang membuat kode dalam bahasa tersebut. Di sisi lain, 68% pengembang profesional menggunakan JavaScript, menurut survei StackOverflow.
Selain itu, sementara profesional ilmu data bekerja di perusahaan yang sebagian besar (87%) mengizinkan perangkat lunak sumber terbuka, sekitar seperempat (26%) memiliki pengawasan minimal oleh departemen TI atas pilihan sumber terbuka mereka, kata laporan Anaconda. Di 18% perusahaan lainnya, departemen TI hanya menentukan sekitar setengah dari komponen open source yang tersedia.
Pengelola proyek paling kritis — yang jumlahnya ratusan, bahkan ribuan — perlu menggunakan dependensi yang aman, menguji kode mereka sendiri, dan memvalidasi kepercayaan kontributor. Pengelola juga harus menerbitkan kartu skor keamanan — inisiatif buatan Google yang sekarang dikelola oleh Open Source Security Foundation (OpenSSF), yang memberikan nilai keamanan pada proyek berdasarkan hampir 20 kriteria berbeda.
Sementara kesadaran cenderung meningkat, tidak ada solusi cepat, kata Miranda.
“Kenyataannya adalah bahwa opsi yang lebih aman sebelumnya tidak ada,” katanya. “Memotong dependensi yang tidak perlu untuk mengurangi permukaan serangan masuk akal, tetapi sulit dilakukan setelah pohon dependensi tumbuh besar.”
