World

Langkah keamanan open-source Google mungkin tidak ada gunanya. Di dunia yang sempurna, seharusnya begitu.


Salah satu ancaman yang lebih besar terhadap keamanan siber perusahaan melibatkan kode pihak ketiga dan kode sumber terbuka yang dirancang ulang, jadi Anda akan
layanan Perangkat Lunak Sumber Terbuka Terjamin Google akan sangat membantu.

Pikirkan lagi.

Inilah penawaran Google: “Assured OSS memungkinkan pengguna perangkat lunak sumber terbuka perusahaan dan sektor publik untuk dengan mudah menggabungkan paket OSS yang sama yang digunakan Google ke dalam alur kerja pengembang mereka sendiri. Paket yang dikuratori oleh layanan Assured OSS secara teratur dipindai, dianalisis, dan diuji untuk kerentanan; memiliki metadata yang diperkaya terkait yang menggabungkan data Analisis Kontainer/Artefak; dibangun dengan Cloud Build termasuk bukti kepatuhan SLSA yang dapat diverifikasi; benar-benar ditandatangani oleh Google; dan didistribusikan dari Artifact Registry yang diamankan dan dilindungi oleh Google.”

Layanan ini mungkin berguna atau tidak, tergantung pada pengguna akhir. Untuk beberapa perusahaan — terutama usaha kecil dan menengah — mungkin memiliki nilai untuk operasi kecil tanpa tim TI khusus. Tetapi untuk perusahaan besar, semuanya sangat berbeda.

Seperti segala sesuatu dalam keamanan siber, kita harus mulai dengan kepercayaan. Haruskah TI mempercayai upaya Google di sini? Pertama, kami sudah banyak aplikasi yang sarat malware atau bermasalah telah disetujui untuk toko aplikasi Google, Google Play. (Agar adil, itu sama buruknya dengan toko aplikasi Apple.)

Itu membuat intinya. Menemukan masalah keamanan dalam kode sangat sulit. Tidak ada yang akan melakukannya dengan sempurna dan Google (dan Apple) tidak memiliki model bisnis untuk mengelola area tersebut dengan benar. Jadi mereka bergantung pada otomatisasi, yang jerawatan.

Jangan salah paham. Apa yang Google coba adalah hal yang sangat bagus. Tetapi pertanyaan kunci TI perusahaan adalah apakah program ini akan memungkinkan mereka melakukan sesuatu yang berbeda. Saya berpendapat bahwa itu tidak akan terjadi.

TI perlu memindai setiap bagian kode — terutama open source — untuk masalah apa pun. Itu mungkin termasuk masalah yang disengaja, seperti malware, ransomware, backdoor, atau hal jahat lainnya. Tapi itu juga akan mencakup lubang yang tidak disengaja. Sulit untuk sepenuhnya melawan kesalahan ketik atau pengkodean yang ceroboh.

Pemrogram/pemrogram tidak dapat membenarkan untuk tidak memeriksa ulang kode yang berasal dari program Google ini. Dan tidak, pengetahuan bahwa inilah yang digunakan Google secara internal seharusnya tidak membuat CIO, Direktur TI, atau CISO merasa hangat dan tidak jelas.

Itu memunculkan masalah yang lebih besar: semua perusahaan Sebaiknya periksa dan periksa ulang setiap baris kode yang mereka akses dari tempat lain — tanpa pengecualian. Konon, di sinilah kenyataan bertemu dengan ideal.

Saya membahas langkah Google dengan Chris Wysopal, salah satu pendiri perusahaan keamanan perangkat lunak Veracode, dan dia membuat beberapa poin menarik. Ada beberapa pemutusan yang dipermasalahkan, satu antara pengembang/pembuat kode dan manajemen TI, yang lain antara manajemen TI (CIO) dan manajemen keamanan (CISO).

Untuk pemutusan pertama, TI dapat mengeluarkan pernyataan kebijakan sebanyak yang diinginkan. Jika pengembang di lapangan memilih untuk mengabaikan dekrit itu, itu akan menjadi penegakan. Dengan setiap eksekutif lini bisnis yang menekan TI, menuntut semuanya segera — dan orang-orang itulah yang menghasilkan pendapatan, yang berarti mereka kemungkinan akan memenangkan pertempuran apa pun dengan CFO atau CEO — penegakannya sulit.

Itu mengasumsikan IT, memang, mengeluarkan dekrit yang menuntut agar kode luar diperiksa dua kali untuk melihat kode apa yang nakal dan bagus. Itulah konflik kedua: CISO, CSO, dan CRO semua ingin pemeriksaan kode dilakukan secara rutin, sementara Direktur TI dan CIO mungkin mengambil posisi yang tidak terlalu agresif.

Ada risiko dari langkah Google ini, yang dapat digambarkan sebagai rasa aman yang salah. Akan ada godaan dari beberapa orang di bidang TI untuk menggunakan penawaran Google sebagai kesempatan untuk menyerah pada tekanan waktu dari LOB dan untuk mengabaikan pemeriksaan keamanan siber pada apa pun dari program Assured Google. Terus terang, itu berarti memutuskan untuk sepenuhnya (dan membabi buta) mempercayai tim Google untuk menangkap semuanya.

Saya tidak dapat membayangkan seorang eksekutif IT Fortune 1000 (atau rekan-rekan mereka yang dimiliki secara pribadi) mempercayai hal itu dan bertindak seperti itu. Tetapi jika mereka mendapat tekanan dari para pemimpin bisnis untuk bergerak cepat, itu adalah alasan yang relatif menyelamatkan muka untuk melakukan apa yang mereka tahu tidak boleh mereka lakukan.

Ini memaksa kita untuk menghadapi beberapa fakta yang tidak menyenangkan. Apakah Google Assured lebih aman daripada kode yang tidak dicentang? Sangat. Apakah akan sempurna? Tentu saja tidak. Oleh karena itu, kehati-hatian menyatakan bahwa TI perlu melanjutkan apa yang dilakukannya sebelumnya dan memeriksa semua kode. Itu membuat upaya Google agak tidak relevan dengan perusahaan.

Tapi itu tidak sesederhana itu dan tidak pernah. Wysopal berpendapat bahwa banyak perusahaan tidak memeriksa apa yang seharusnya mereka lakukan. Jika itu benar — dan sayangnya saya akui itu mungkin — maka Google Assured adalah peningkatan dari apa yang kami miliki bulan lalu.

Dengan kata lain, jika Anda sudah mengambil terlalu banyak jalan pintas dan berencana untuk terus melakukannya, langkah Google bisa menjadi hal yang baik. Jika Anda ketat tentang pemeriksaan kode, itu tidak relevan.

Wysopal juga berpendapat bahwa skala Google terlalu kecil untuk banyak membantu, terlepas dari pendekatan pemeriksaan kode perusahaan. “Proyek ini harus berskala 10 kali lipat untuk membuat perbedaan besar,” kata Wysopal.

Apa yang dilakukan oleh para pemimpin TI itu? bukan ketat memeriksa kode lakukan? “Mereka menunggu orang lain untuk menemukan kerentanan (dan kemudian memperbaikinya). Perusahaan adalah semacam konsumen bodoh open source. Jika kerentanan ditemukan oleh orang lain, mereka menginginkan sebuah sistem di mana mereka dapat memperbarui, ”kata Wysopal. “Jarang menemukan perusahaan dengan kebijakan ketat dan mereka menegakkannya dengan baik. Sebagian besar mengizinkan pengembang untuk memilih sumber terbuka tanpa proses yang ketat. Segera setelah keamanan aplikasi mulai melambat, itu akan dilewati.”

Langkah Google adalah kabar baik bagi mereka yang telah mengambil terlalu banyak sudut keamanan. Berapa banyak dari perusahaan-perusahaan itu di luar sana? Itu bisa diperdebatkan, tetapi saya khawatir Wysopal mungkin lebih benar daripada yang ingin diakui siapa pun.

Hak Cipta © 2022 IDG Communications, Inc.

Artikel ini telah tayang pertama kali di situs www.computerworld.com

Related Articles

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Back to top button