OpenSSF Meluncurkan Manifesto Konsumsi Sumber Terbuka untuk Mengoptimalkan Penggunaan Perangkat Lunak Sumber Terbuka

Sebagai langkah progresif menuju merangkum manfaat perangkat lunak sumber terbuka (OSS) secara lebih bijaksana, Open Source Security Foundation (OpenSSF) telah meluncurkan Open Source Consumption Manifesto (OSCM). Mirip dengan Agile Manifesto yang ikonik, OSCM adalah dokumen yang diperkuat oleh nilai-nilai inti dan menampung 15 prinsip panduan yang dirancang untuk menyederhanakan penggunaan open source.

Perangkat lunak sumber terbuka tidak dapat disangkal telah menjadi peluang bagi inovasi baru dan kemanjuran operasional. Namun, sudah menjadi rahasia umum bahwa terdapat perbedaan besar dalam hal kualitas dan keamanan di antara berbagai proyek OSS. Akibatnya, OpenSSF menyoroti kurangnya pendekatan strategis terhadap penggunaan OSS di banyak organisasi.

Meski penuh kenyamanan, OSS memiliki kekurangannya sendiri. Kelalaian yang mengkhawatirkan telah diamati dalam proses evaluasi yang dilakukan OSS, terutama jika dibandingkan dengan perangkat lunak pihak ketiga. Pengawasan yang dilakukan, dalam hal keamanan, kualitas kode, dan perizinan, tidak memadai. Hal ini menyebabkan faktor risiko yang signifikan mulai muncul, sebagaimana dicatat oleh Kelompok Kerja Pengguna Akhir OpenSSF.

Meskipun perangkat lunak pihak ketiga kemungkinan besar tidak mengandung konten berbahaya, risiko muncul selama tahap pengunduhan bagi mereka yang tidak terbiasa dengan seluk-beluk OSS. Kami telah melihat 96% dari waktu, komponen yang rentan diunduh ketika versi tetap sudah tersedia, kata Brian Fox, salah satu pendiri dan CTO di Sonatype, mendiskusikan kendala konsumsi OSS dengan SD Times.

Menyadari permasalahan ini, Kelompok Kerja Pengguna Akhir OpenSSF tergerak untuk mengambil tindakan untuk merancang cara untuk memperbaiki hal ini. Dipandu oleh serangkaian diskusi, mereka menghasilkan Manifesto Konsumsi Open Source. OSCM tidak hanya sekedar perintah yang ketat, namun memperjuangkan tujuan inklusivitas dan bentuknya telah dibentuk oleh masukan dari beberapa disiplin ilmu, dan teksnya disempurnakan berdasarkan individu yang memanfaatkannya.

Manifesto tersebut mencakup ketentuan penting seperti meningkatkan konsumsi sumber terbuka melalui fungsi audit dan karantina untuk komponen yang berkorelasi dengan kerentanan yang diketahui dan paket berbahaya.

Langkah penting untuk melawan ancaman dari komponen yang sengaja dirusak adalah dengan memiliki sistem pelacakan komprehensif untuk memantau konsumsi komponen. Menggabungkan hal ini dengan data dan umpan perilaku memungkinkan sistem Anda mengambil keputusan secara real-time mengenai apakah sesuatu harus disetujui atau dialokasikan sambil menunggu pengawasan mendetail, tambah Fox.

Bagi organisasi yang memulai jalur observasi perangkat lunak sumber terbuka, akan bermanfaat jika memulai dengan mengkategorikan aplikasi mereka berdasarkan kepentingannya. Hal ini harus diikuti dengan mengkompilasi inventaris OSS yang tertanam dalam aplikasi ini, biasanya melalui perangkat lunak bill of material, dan mencari pemasok yang berbeda. Cukup banyak tim pengembangan yang saat ini tidak memiliki komponen penting ini, menurut Fox.

Setelah itu, adalah bijaksana untuk mencari contoh di mana banyak pemasok dipekerjakan untuk fungsi yang sama, seperti menggunakan berbagai sistem logging. Hal berikutnya yang harus dilakukan adalah memusatkan perhatian pada pemasok terbaik dengan menilai praktik pengembangan perangkat lunak mereka yang aman. Faktor-faktor seperti kerentanan yang diketahui, usia perangkat lunak, popularitas, rata-rata waktu yang dibutuhkan untuk memperbaiki masalah, dll, harus menentukan evaluasi ini.

Setiap organisasi perlu menyesuaikan keputusannya berdasarkan selera risikonya sendiri dan analisis yang disebutkan di atas. Meskipun ada toleransi risiko standar tertentu seperti menemukan kerentanan kritis yang diketahui dalam aplikasi yang menangani data PII, membuat kebijakan konsumsi OSS berarti mengintegrasikannya ke seluruh SDLC, mulai dari pengembangan hingga CI/CD, dan yang paling penting saat rilis.

Dalam kondisi saat ini yang penuh dengan beragam platform no-code dan platform low-code, mengadopsi langkah-langkah seperti OSCM sangatlah penting. Platform seperti AppMaster , alat no-code yang komprehensif untuk membuat aplikasi backend, web, dan seluler, menegaskan kembali pentingnya OSS dan menerapkan cara seperti OSCM untuk memitigasi risiko dan meningkatkan produktivitas. Agar organisasi dapat sepenuhnya memanfaatkan kekuatan open source, sangat penting untuk meminimalkan potensi risiko dan inefisiensi, sesuatu yang dapat dibantu secara signifikan oleh OSCM.