Serangan rantai pasokan baru-baru ini seperti SolarWinds, Log4j dan 3CX telah menyoroti kebutuhan untuk melindungi rantai pasokan perangkat lunak serta konsekuensi potensial dari kegagalan menilai integritas perangkat lunak dengan benar.
Sebuah laporan baru dari perusahaan manajemen keamanan rantai pasokan perangkat lunak Lineaje melihat komposisi perangkat lunak sumber terbuka dan menilai risiko yang terkait dengan penggunaannya.
Ditemukan bahwa 82 persen dari semua komponen perangkat lunak sumber terbuka secara inheren berisiko dengan risiko signifikan karena kerentanan, masalah keamanan, kualitas kode, atau masalah pemeliharaan. Namun, risiko ini tidak terdistribusi secara merata, menggarisbawahi pentingnya menilai ketergantungan sumber terbuka secara terus-menerus mengingat risiko berkembang di berbagai versi. Popularitas perangkat lunak juga tidak terkait dengan risikonya — jadi memilih dependensi berdasarkan popularitasnya bukanlah pendekatan mitigasi risiko.
Terlihat, dependensi langsung hanya menyumbang 10 persen dari semua dependensi yang ditarik oleh komponen sumber terbuka sementara 90 persen bersifat transitif. Selain itu, 68 persen ketergantungan pada perangkat lunak sumber terbuka berasal dari proyek sumber terbuka lainnya, yang pada gilirannya menarik lebih banyak proyek sumber terbuka.
Penelitian ini juga menganalisis asal usul setiap komponen dan menemukan bahwa sementara sekitar 68 persen komponen dapat dibuktikan sepenuhnya, sisanya tidak. Kemampuan untuk mendeteksi perusakan rantai pasokan perangkat lunak terkait langsung dengan pembuktian integritas. Faktanya, serangan 3CX yang baru-baru ini dilaporkan, yang berasal dari kompromi pustaka sumber terbuka, akan terdeteksi dengan pemeriksaan integritas yang mendalam.
Sementara sebagian besar perangkat lunak yang dinilai memiliki komponen yang diketahui, tiga persen menunjukkan komponen yang tidak diketahui dengan 5,3 persen ditulis oleh penulis yang dirahasiakan. Ia juga menemukan bahwa 90 persen perangkat lunak mengungkapkan kerentanan yang ‘tidak dapat ditambal’ oleh pengembang yang menyertakan ketergantungan sumber terbuka. Mereka hanya dapat ditambal atau diperbaiki oleh pengembang proyek yang bergantung.
“Sangat penting bagi organisasi saat ini untuk memahami bahwa tidak semua perangkat lunak open-source diperiksa dan anti-rusak, bahkan jika itu dapat diakses melalui repositori yang paling terakreditasi dan diakui. Seperti yang telah kita lihat berulang kali, open-source tetap menjadi sering menjadi titik masuk bagi musuh,” kata CEO dan salah satu pendiri Lineaje Javed Hasan. “Dengan lebih banyak perangkat lunak yang dirakit daripada dibangun, menjadi lebih penting dari sebelumnya untuk memiliki alat dan proses formal untuk memahami DNA perangkat lunak. Pengembang tidak memiliki visi Xray untuk melihat ke dalam komponen perangkat lunak yang mereka sertakan dan sebagian besar yang membuat pilihan sumber terbuka dependencies bukanlah pakar keamanan. Sebagai sebuah industri, merupakan kewajiban kami untuk menilai kualitas dan keamanan komponen perangkat lunak ini yang dibuat dari kiri ke kiri.”
Analisis terhadap 44 proyek, termasuk 41.989 komponen dan 26 juta baris kode, dari Apache Software Foundation (ASF) dan komponen sumber terbuka yang bergantung secara langsung dan transitif, menemukan 16.489 contoh kerentanan kritis yang tercatat tidak memiliki perbaikan, dan lebih dari 40 persen semua komponen yang dianggap ‘sangat berisiko’.
Mengulangi analisis yang lebih luas dari perangkat lunak sumber terbuka, 90 persen perangkat lunak Apache memiliki masalah yang ‘tidak dapat diperbaiki’ oleh anggota dan pembuat komitmen ASF.
Anda bisa mendapatkan laporan lengkapnya di situs Lineaje.
Kredit gambar: Artur Szczybylo/Shutterstock
