Meluasnya penggunaan perangkat lunak open source (OSS) dalam pengembangan aplikasi modern menimbulkan "risiko keamanan yang signifikan", menurut penelitian baru.
Menurut laporan baru dari perusahaan keamanan siber Snyk, bersama dengan Linux (terbuka di tab baru) Foundation, organisasi saat ini kurang siap untuk mengatasi risiko ini.
Berdasarkan survei terhadap lebih dari 550 responden, serta data yang diambil dari 1.3 miliar proyek open source melalui Snyk Open Source, laporan tersebut menyatakan bahwa dua dari lima (41%) perusahaan tidak yakin dengan keamanan kode sumber terbuka mereka.
Kerentanan dalam kode sumber terbuka
Proyek pengembangan aplikasi rata-rata, ditemukan, memiliki 49 kerentanan, serta 80 dependensi langsung. Biasanya, sekarang dibutuhkan 110 hari untuk memperbaiki kerentanan dalam proyek sumber terbuka, naik dari 49 hari empat tahun lalu.
“Pengembang perangkat lunak saat ini memiliki rantai pasokan mereka sendiri – alih-alih merakit suku cadang mobil, mereka merakit kode dengan menggabungkan komponen open source yang ada dengan kode unik mereka. Meskipun hal ini mengarah pada peningkatan produktivitas dan inovasi, hal ini juga menciptakan masalah keamanan yang signifikan,” kata Matt Jarvis, Director, Developer Relations, Snyk.
Jarvis menambahkan bahwa ada "kenaifan" tertentu dalam pendekatan industri terhadap perangkat lunak sumber terbuka, yang dapat membuka pintu bagi segala jenis malware, ransomware, dan serangan lainnya.
Misalnya, kurang dari setengah (49%) memiliki kebijakan keamanan untuk pengembangan atau penggunaan OSS, turun menjadi 27% di antara perusahaan menengah dan besar. Selain itu, kurang dari sepertiga (30%) organisasi tanpa kebijakan keamanan sumber terbuka menyadari fakta bahwa saat ini, tidak ada yang menangani keamanan perangkat lunak sumber terbuka.
Tetapi beberapa responden menyadari tantangan keamanan yang ditimbulkan oleh perangkat lunak sumber terbuka dalam rantai pasokan. Seperempat mengatakan mereka khawatir tentang dampak keamanan dari dependensi mereka pada OSS, dan hanya 18% yang mengatakan bahwa mereka yakin dengan kontrol yang telah mereka siapkan untuk dependensi transitif mereka, di mana 40% dari semua kerentanan ditemukan.