Gedung Putih Ingatkan Raksasa Teknologi 'Open Source' adalah Masalah Keamanan Nasional

Cybertheat.id -  Gedung Putih ingin pemerintah dan organisasi sektor swasta mengerahkan upaya dan sumber daya untuk mengamankan perangkat lunak sumber terbuka (open-source) dan rantai pasokannya setelah cacat pada Log4J mengekspos infrastruktur penting sebagai pintu masuk bagi peretas untuk melancarkan serangan.

Diskusi tentang topik ini berlangsung selama Pertemuan Keamanan Perangkat Lunak Sumber Terbuka yang diselenggarakan oleh pemerintahan Biden pada Kamis lalu.

Seperti dilansirr Bleeping Computer, peserta berfokus pada tiga topik: mencegah kerusakan dan kerentanan keamanan dalam perangkat lunak sumber terbuka, meningkatkan proses untuk menemukan kelemahan keamanan dan memperbaikinya, serta mempersingkat waktu untuk mengirimkan dan menerapkan perbaikan.

"Kebanyakan paket perangkat lunak utama, termasuk perangkat lunak open source - termasuk perangkat lunak yang digunakan oleh komunitas keamanan nasional," tulis briefing Gedung Putih tentang pertemuan itu.  

"Perangkat lunak open source membawa nilai unik, dan memiliki tantangan keamanan yang unik, karena luasnya penggunaan dan jumlah sukarelawan yang bertanggung jawab atas pemeliharaan keamanan berkelanjutan."

Dalam pertemuan itu, Google mengusulkan pembentukan organisasi baru yang akan bertindak sebagai pasar untuk pemeliharaan sumber terbuka yang akan mencocokkan sukarelawan dari perusahaan yang berpartisipasi dengan proyek penting yang paling membutuhkan dukungan.

"Sudah terlalu lama, komunitas perangkat lunak merasa nyaman dengan asumsi bahwa perangkat lunak open source umumnya aman karena transparansinya dan asumsi bahwa 'banyak mata' mengawasi untuk mendeteksi dan menyelesaikan masalah. Namun pada kenyataannya, sementara beberapa proyek memiliki banyak perhatian, yang lain memiliki sedikit atau tidak sama sekali. Ketergantungan yang semakin besar pada sumber terbuka berarti inilah saatnya bagi industri dan pemerintah untuk bersama-sama menetapkan standar dasar untuk keamanan, pemeliharaan, sumber, dan pengujian — untuk memastikan infrastruktur nasional dan sistem penting lainnya dapat mengandalkan proyek sumber terbuka. Standar ini harus dikembangkan melalui proses kolaboratif, dengan penekanan pada pembaruan yang sering, pengujian berkelanjutan, dan integritas yang diverifikasi," kata Kent Walker, President Global Affairs & Chief Legal Officer Google dan Alphabet.

Pertemuan Gedung Putih ini menyusul serangan baru-baru ini dan masih berlangsung, yang membidik celah keamanan kritis di perpustakaan logging berbasis Java Apache Log4j open-source yang mengekspos pengguna rumahan dan perusahaan sama-sama ke serangan eksekusi kode jarak jauh.

Pertemuan tersebut dihadiri oleh Deputi Penasihat Keamanan Nasional Anne Neuberger dan Direktur Siber Nasional Chris Inglis.

Mereka bergabung dengan pejabat dari beberapa lembaga federal, termasuk Departemen Pertahanan, Departemen Perdagangan, Departemen Energi, dan Departemen Keamanan Dalam Negeri, serta perwakilan dari Cybersecurity and Infrastructure Security Agency (CISA), National Institut Standar dan Teknologi, dan National Science Foundation.

Organisasi sektor swasta yang bergabung dalam pertemuan tersebut, berdasarkan  urutan abjad: Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Facebook/Meta, GitHub, Google, IBM, Linux Foundation, Open Source Security Foundation, Microsoft, Oracle, RedHat, VMWare.

Presiden Biden sebelumnya telah menjadikan keamanan perangkat lunak sebagai prioritas nasional setelah mengeluarkan Perintah Eksekutif untuk meningkatkan pertahanan keamanan siber AS pada Mei 2021.

Perintah Eksekutif keamanan siber Biden datang setelah serangan rantai pasokan SolarWinds bulan Desember.

Perintah itu meminta pemerintah AS untuk meningkatkan keamanan rantai pasokan dengan mengembangkan pedoman, alat, dan praktik terbaik untuk mengaudit dan memastikan bahwa pelaku jahat tidak mencampuri perangkat lunak penting.

Perintah Eksekutif yang sama juga mengatakan bahwa hanya perusahaan yang menggunakan praktik siklus hidup pengembangan perangkat lunak yang aman yang dapat menjual produk mereka kepada pemerintah federal, dengan memanfaatkan daya beli pemerintah untuk mendorong perbaikan dalam rantai pasokan perangkat lunak. []