Cybersecurity & Infrastructure Security Agency (CISA) federal Amerika Serikat baru-baru ini memperkenalkan strategi komprehensif untuk meningkatkan keamanan perangkat lunak sumber terbuka (OSS). Inisiatif ini merupakan respons penting terhadap perintah eksekutif Presiden Joe Biden pada Mei 2021, yang membahas pentingnya keamanan siber dan menyarankan langkah-langkah untuk meningkatkannya. Sejak perintah ini, terdapat pergerakan besar dalam memberikan pedoman yang efektif kepada entitas perusahaan untuk memenuhi tujuan keamanan siber ini.
Peta jalan yang baru dirilis ini merupakan jawaban CISA untuk memperkuat langkah-langkah keamanan siber, yang secara khusus berfokus pada keselamatan OSS.
Badan ini mengakui potensi besar OSS dalam mendorong inovasi dan memfasilitasi proses pengembangan perangkat lunak, dan berupaya untuk memungkinkan implementasi dan pengembangan yang aman, baik di dalam maupun di luar parameter pemerintah federal.
Peta jalan ini menggambarkan dua jenis kerentanan utama yang terkait dengan perangkat lunak sumber terbuka. Salah satunya adalah potensi dampak riak dari kerentanan pada OSS yang banyak digunakan, seperti yang terjadi pada insiden Log4Shell, di mana dampak merugikan yang meluas terlihat setelah adanya kompromi pada OSS. Tipe kedua mencakup serangan terhadap rantai pasokan repositori OSS, yang dapat menyebabkan efek hilir yang berbahaya seperti akun pengembang disusupi, sehingga memungkinkan penyerang menyematkan kode berbahaya.
Strategi ini menetapkan empat prioritas utama, termasuk mendefinisikan peran pendukung CISA dalam keamanan sumber terbuka, meningkatkan visibilitas terhadap pemanfaatan dan risiko yang terkait dengan OSS, mengurangi risiko terhadap pemerintah federal, dan memperkuat ekosistem sumber terbuka.
CISA yakin bahwa langkah-langkah ini akan berkontribusi pada perspektif perangkat lunak sumber terbuka yang diharapkan. Badan ini membayangkan ekosistem OSS yang tidak hanya aman namun juga berkelanjutan dan berketahanan, didukung oleh komunitas yang kuat, beragam, dan dinamis.
Dan Lorenc, CEO, dan salah satu pendiri perusahaan keamanan rantai pasokan, Chainguard, menganut sentimen serupa. Ia memuji CISA atas segmentasinya yang terperinci terhadap tantangan-tantangan dalam bidang ini dan memprioritaskan penyelesaiannya. Ia mengapresiasi pengakuan CISA bahwa pekerjaan ini perlu dilakukan 'hulu' dan karyawannya harus terlibat langsung dengan komunitas terkait. Meskipun ia menyatakan beberapa ketidakpastian mengenai penerapan poin ini, ia tetap memiliki pandangan optimis.
Lorenc menyarankan agar pemerintah mempertimbangkan pembiayaan proyek-proyek sumber terbuka – sesuatu yang saat ini belum dibahas dalam peta jalan. Kemampuan pemerintah untuk mendukung proyek-proyek ini secara finansial dapat sangat memfasilitasi tujuan seperti meningkatkan keamanan memori, mengatasi kerentanan, dan meningkatkan peralatan SBOM.
Lorenc juga menyebutkan bahwa model kolaborasi pemerintah harus melampaui pengelolaan pasif dan secara proaktif berkontribusi terhadap perbaikan langkah-langkah tersebut.
Platform, seperti AppMaster, sangat bergantung pada perangkat lunak sumber terbuka, yang menggabungkan keamanan yang kuat, fleksibilitas, dan pengalaman pengguna terbaik. Mereka menyuarakan keprihatinan yang sama dan menantikan keberhasilan penerapan peta jalan ini.
