Log4J: Setelah pertemuan Gedung Putih, Google dan IBM meminta daftar proyek sumber terbuka yang penting
Home & Office

Log4J: Setelah pertemuan Gedung Putih, Google dan IBM meminta daftar proyek sumber terbuka yang penting

Google dan IBM mendesak organisasi teknologi untuk bergabung dalam upaya mengidentifikasi proyek sumber terbuka yang penting setelah menghadiri pertemuan Gedung Putih tentang masalah keamanan sumber terbuka.

Pertemuan tersebut, yang dipimpin oleh pemimpin keamanan siber Gedung Putih Anne Neuberger, termasuk pejabat dari organisasi seperti Apache, Google, Apple, Amazon, IBM, Microsoft, Meta, Linux, dan Oracle serta lembaga pemerintah seperti Departemen Pertahanan dan Keamanan Siber dan Infrastruktur. Badan Keamanan (CISA). Pertemuan berlangsung saat organisasi terus mengatasi kerentanan Log4j yang telah menimbulkan kekhawatiran sejak ditemukan pada bulan Desember.

Kent Walker, presiden urusan global di Google dan Alphabet, mengatakan bahwa mengingat pentingnya infrastruktur digital bagi dunia, inilah saatnya untuk mulai memikirkannya dengan cara yang sama seperti yang kita lakukan pada infrastruktur fisik kita.

“Perangkat lunak open source adalah jaringan penghubung untuk sebagian besar dunia online – ia layak mendapatkan fokus dan pendanaan yang sama yang kami berikan untuk jalan dan jembatan kami. Pertemuan hari ini di Gedung Putih merupakan pengakuan atas tantangan dan langkah pertama yang penting untuk mengatasi itu,” kata Walker.

Dalam sebuah posting blog, Walker menjelaskan bahwa selama pertemuan tersebut, Google mengajukan beberapa proposal tentang bagaimana bergerak maju setelah kerentanan Log4J.

Walker mengatakan kemitraan publik-swasta diperlukan untuk mengidentifikasi daftar proyek sumber terbuka yang kritis dan mengatakan kekritisan harus ditentukan berdasarkan pengaruh dan pentingnya proyek. Daftar ini akan membantu organisasi memprioritaskan dan mengalokasikan sumber daya untuk penilaian dan peningkatan keamanan yang paling penting.

“Dalam jangka panjang, kami membutuhkan cara baru untuk mengidentifikasi perangkat lunak yang mungkin menimbulkan risiko sistemik — berdasarkan bagaimana itu akan diintegrasikan ke dalam proyek penting — sehingga kami dapat mengantisipasi tingkat keamanan yang diperlukan dan menyediakan sumber daya yang sesuai,” kata Walker, menambahkan bahwa juga perlu ditetapkan standar keamanan ke depan.

“Meningkatnya ketergantungan pada open source berarti sudah waktunya bagi industri dan pemerintah untuk bersama-sama menetapkan standar dasar untuk keamanan, pemeliharaan, asal, dan pengujian — untuk memastikan infrastruktur nasional dan sistem penting lainnya dapat mengandalkan proyek open source. Standar ini harus dikembangkan melalui proses kolaboratif, dengan penekanan pada pembaruan yang sering, pengujian berkelanjutan, dan integritas yang diverifikasi.”

Eksekutif keamanan perusahaan IBM Jamie Thomas menggemakan komentar Walker dan mengatakan pertemuan Gedung Putih “menjelaskan bahwa pemerintah dan industri dapat bekerja sama untuk meningkatkan praktik keamanan untuk open source.”

“Kita bisa mulai dengan mendorong adopsi standar keamanan terbuka dan masuk akal secara luas, mengidentifikasi aset sumber terbuka penting yang harus memenuhi persyaratan keamanan paling ketat, dan mempromosikan upaya nasional kolaboratif untuk memperluas pelatihan dan pendidikan keterampilan dalam keamanan sumber terbuka dan memberi penghargaan kepada pengembang yang membuat langkah penting di lapangan,” kata Thomas.

Walker memuji kerja organisasi seperti OpenSSF — yang diinvestasikan Google sebesar $100 juta — yang sudah berusaha menciptakan standar seperti ini.

Dia juga mengatakan Google mengusulkan untuk mendirikan sebuah organisasi yang berfungsi sebagai pasar untuk pemeliharaan sumber terbuka, mencocokkan sukarelawan dari perusahaan dengan proyek-proyek penting yang paling membutuhkan dukungan. Dia mencatat bahwa Google “siap untuk menyumbangkan sumber daya” untuk langkah tersebut.

Posting blog mencatat bahwa tidak ada alokasi sumber daya resmi dan sedikit persyaratan atau standar formal untuk menjaga keamanan kode sumber terbuka kritis, menjelaskan bahwa sebagian besar pekerjaan untuk memelihara dan meningkatkan keamanan sumber terbuka, termasuk memperbaiki kerentanan yang diketahui, “adalah dilakukan secara ad hoc, secara sukarela.”

“Sudah terlalu lama, komunitas perangkat lunak merasa nyaman dengan asumsi bahwa perangkat lunak open source umumnya aman karena transparansinya dan asumsi bahwa “banyak mata” mengamati untuk mendeteksi dan menyelesaikan masalah. Namun kenyataannya, sementara beberapa proyek memiliki banyak mata tertuju pada mereka, yang lain hanya sedikit atau tidak sama sekali,” kata Walker.

Dia memuji kerja Google di bidang ruang dan investasi keuangan dalam mengatasi beberapa masalah keamanan dalam proyek sumber terbuka dasar.

Posted By : result hk