“Sumber terbuka sangat penting,” kata David Harmon, direktur rekayasa perangkat lunak untuk AMD. “Sumber terbuka menyediakan lingkungan kolaborasi dan kemajuan teknis. Pengguna yang cerdas dapat melihat sendiri kodenya; mereka dapat mengevaluasinya; mereka dapat meninjaunya dan mengetahui bahwa kode yang mereka dapatkan sah dan berfungsi untuk apa yang ingin mereka lakukan.”
Namun, OSS juga dapat membahayakan postur keamanan organisasi dengan memperkenalkan kerentanan tersembunyi yang tidak terdeteksi oleh tim TI yang sibuk, terutama karena serangan siber yang menargetkan sumber terbuka sedang meningkat. OSS mungkin mengandung kelemahan, misalnya, yang dapat dieksploitasi untuk mendapatkan akses tidak sah ke sistem atau jaringan rahasia. Pelaku kejahatan bahkan dapat dengan sengaja memperkenalkan ruang untuk eksploitasi—“pintu belakang”—ke dalam OSS yang dapat membahayakan postur keamanan organisasi.
“Open source merupakan pendorong produktivitas dan kolaborasi, tetapi juga menghadirkan tantangan keamanan,” kata Vlad Korsunsky, wakil presiden perusahaan untuk keamanan cloud dan perusahaan Microsoft. Sebagian masalahnya adalah bahwa open source memasukkan kode ke dalam organisasi yang sulit diverifikasi dan dilacak. Organisasi sering kali tidak mengetahui siapa yang membuat perubahan pada kode open source atau maksud dari perubahan tersebut, faktor-faktor yang dapat meningkatkan permukaan serangan perusahaan.
Yang memperumit masalah adalah bahwa meningkatnya popularitas OSS bertepatan dengan munculnya cloud dan serangkaian tantangan keamanannya sendiri. Aplikasi berbasis cloud yang berjalan di OSS, seperti Linux, memberikan manfaat yang signifikan, termasuk fleksibilitas yang lebih besar, rilis fitur perangkat lunak baru yang lebih cepat, manajemen infrastruktur yang mudah, dan ketahanan yang lebih baik. Namun, aplikasi ini juga dapat menciptakan titik buta dalam postur keamanan organisasi, atau lebih buruk lagi, membebani tim pengembangan dan keamanan yang sibuk dengan sinyal ancaman yang konstan dan daftar tugas perbaikan keamanan yang tidak ada habisnya.
“Saat Anda beralih ke cloud, banyak model ancaman yang berubah total,” kata Harmon. “Aspek performa masih relevan, tetapi aspek keamanan jauh lebih relevan. Tidak ada CTO yang ingin menjadi berita utama terkait pelanggaran.”
Namun, menghindari berita menjadi semakin sulit: Menurut survei State of the Cloud 2024 dari perusahaan cloud Flexera, 89% perusahaan menggunakan lingkungan multi-cloud. Pengeluaran dan keamanan cloud menjadi tantangan cloud teratas bagi responden. Prospek Keamanan Cloud 2024 dari perusahaan keamanan Tenable melaporkan bahwa 95% organisasi yang disurvei mengalami pelanggaran cloud selama 18 bulan sebelum survei mereka.
Keamanan kode ke cloud
Hingga saat ini, berbagai organisasi mengandalkan pengujian dan analisis keamanan untuk memeriksa keluaran aplikasi dan mengidentifikasi masalah keamanan yang perlu diperbaiki. Namun, saat ini, menangani ancaman keamanan memerlukan lebih dari sekadar melihat bagaimana ancaman tersebut dikonfigurasikan saat dijalankan. Sebaliknya, organisasi harus mencari akar penyebab masalahnya.
Menurut Korsunsky, ini adalah tugas berat yang menghadirkan keseimbangan bagi tim keamanan TI. “Bahkan jika Anda dapat membuat koneksi kode ke cloud, tim keamanan mungkin enggan menerapkan perbaikan jika mereka tidak yakin dengan dampak potensialnya terhadap bisnis. Misalnya, perbaikan dapat meningkatkan keamanan tetapi juga menggagalkan beberapa fungsi aplikasi itu sendiri dan berdampak negatif pada produktivitas karyawan,” katanya.
