Disadari atau tidak, open source software (OSS) semakin vital di era digital seperti saat ini. Software open source menjadi bagian dari setiap derap kehidupan kita, mulai saat kita menggunakan smartphone sampai mobil.
Survei Linux Foundation menemukan, aplikasi modern yang ada saat ini memiliki 70-90% komponen open source. Era transformasi digital mendorong organisasi di seluruh dunia memanfaatkan software open source yang terbukti handal dan mudah diimplementasikan.
Akan tetapi, fenomena pemanfaatan open source ini sebenarnya menciptakan risiko cyber security. Yang paling mendasar adalah keterlambatan melakukan update dari package yang memiliki lubang keamanan. “Saat ini, masih ada 30% aplikasi yang menggunakan Log4j, padahal komponen ini rentan terkena Log4Shell Vulnerability,” ungkap Roger Lau (Lead Solution Architect Sonatype). Yang mengkhawatirkan, hal ini masih terjadi saat ini meski Log4Shell Vulnerability ditemukan sejak dua tahun lalu.
Pemanfaatan OSS juga membuat hacker berlomba kode berbahaya melalui OSS. “Riset Sonatype menemukan, ada 245 ribu malicious packages yang diselipkan ke komponen open source,” ungkap Roger di depan peserta XCION 11 Conference and Exhibition. Angka ini naik dua kali lipat dibanding akumulasi kerentanan terjadi sejak tahun 2019.
Perlindungan Sonatype
Sonatype sendiri adalah penyedia solusi supply chain management yang fokus pada penggunaan open source. Solusi tersebut hadir dalam tiga platform. Yang pertama adalah Sonatype Nexus Repository yang menyediakan komponen open source secara terpusat. Repository ini berisi komponen open source yang sudah diuji dan dipastikan tidak memiliki celah keamanan.
Platform kedua adalah Sonatype Repository Firewall. Fungsi platform ini adalah mendeteksi komponen open source yang telah disisipi kode berbahaya. Menggunakan teknologi Artificial Intelligence, platform ini dapat mendeteksi perilaku mencurigakan dari komponen tersebut, dan memberi peringatan pada developer. Pakar security dari Sonatype juga akan meneliti paket mencurigakan tersebut untuk memastikan keamanannya.
Platform ketiga adalah Sonatype Lifecycle. Platform ini berfungsi memonitor vulnerabilities sepanjang software development lifecycle. Jika mendeteksi penggunaan komponen yang terbukti memiliki celah keamanan, solusi Sonatype langsung memberi peringatan dan memberi informasi versi yang sudah tidak memiliki celah keamanan.
Dengan menyediakan solusi seperti itu, Sonatype berharap bisa membantu perusahaan dalam memanfaatkan OSS dengan aman. “Sehingga kita bisa mengakselerasi transformasi digital memanfaatkan software open source,” tambah Roger.