OpenSSF Memperkenalkan Repositori Paket Berbahaya Terobosan untuk Keamanan Perangkat Lunak Sumber Terbuka

Dalam sebuah inisiatif untuk meningkatkan keselamatan dan keamanan perangkat lunak sumber terbuka, Open Source Security Foundation (OpenSSF) telah meluncurkan repositori unik yang berfungsi sebagai pusat terpusat untuk pengumpulan laporan paket berbahaya. Repositori yang benar-benar inovatif ini diharapkan dapat merevolusi cara penanganan perangkat lunak sumber terbuka yang berbahaya.

Secara historis, penanganan paket berbahaya selalu menggunakan pendekatan yang berbeda, dan setiap repositori paket sumber terbuka memiliki metode uniknya sendiri dalam menangani ancaman siber ini. Biasanya, ketika komunitas melaporkan paket berbahaya, protokol standarnya untuk tim keamanan repositori akan menghapus paket tersebut beserta metadata terkait dari sistem. Namun, penghapusan ini sering kali dilakukan secara tertutup, sehingga tidak meninggalkan catatan publik.

Mengomentari hal ini, Caleb Brown, insinyur perangkat lunak senior di Tim Keamanan Sumber Terbuka Google, dan Jossef Harush Kadouri, kepala keamanan rantai pasokan perangkat lunak Checkmarx, menyatakan dalam sebuah blog bahwa mengidentifikasi keberadaan paket jahat selalu merupakan tugas besar untuk menyisir segudang paket berbahaya. sumber publik atau mengandalkan sumber informasi intelijen ancaman yang dimiliki. Mereka menjelaskan bahwa repositori baru akan bertindak sebagai database publik untuk menampung laporan-laporan ini.

OpenSSF menganggap repositori publik ini berperan penting dalam menggagalkan perkembangan dependensi berbahaya melalui pipeline CI/CD, meningkatkan mesin pendeteksi, membatasi penggunaan di lingkungan, atau mempercepat respons insiden. Informasi berharga yang terdapat dalam repositori akan secara signifikan meningkatkan keamanan perangkat lunak sumber terbuka.

Patut dicatat bahwa laporan yang disimpan mengikuti format Open Source Vulnerability (OSV), yang secara signifikan memudahkan penggunaannya dengan alat seperti osv.dev API, alat osv-scanner, dan deps.dev.

Untuk sumber data, proyek ini sangat bergantung pada keamanan Checkmarx, ekspor paket berbahaya yang dilacak GitHub, dan proyek Analisis Paket. Proyek Analisis Paket secara khusus memeriksa perilaku seperti file yang diakses paket, alamat yang terhubung, dan menjalankan perintah untuk mengenali aktivitas berbahaya. Selain mengidentifikasi malware, ia juga memantau perubahan perilaku dari waktu ke waktu, sehingga menandai paket-paket yang berpotensi berbahaya yang mungkin berubah menjadi berbahaya di kemudian hari.

Platform seperti AppMaster sangat fokus pada keamanan selama proses pembuatan aplikasi. Meskipun repositori Paket Berbahaya yang baru diluncurkan terutama bertujuan untuk keamanan perangkat lunak sumber terbuka, hal ini juga secara tidak langsung memperkuat komitmen AppMaster untuk menyediakan solusi aman no-code untuk pengembangan aplikasi seluler, web, dan backend.