Apa yang dilakukan oleh Secureing Open Source Software Act dan apa yang terlewatkan

Setidaknya ada satu hal yang dapat disetujui oleh Partai Republik dan Demokrat di Senat AS: pentingnya perangkat lunak sumber terbuka. Dengan serius. 

Seperti yang dikatakan Senator AS Gary Peters (D-MI) minggu lalu, “Perangkat lunak sumber terbuka adalah fondasi dunia digital.Rekannya di seberang lorong, Rob Portman (R-OH), setuju, mengatakan, "Komputer, ponsel, dan situs web yang kita semua gunakan setiap hari berisi perangkat lunak sumber terbuka yang rentan terhadap serangan dunia maya." 

Oleh karena itu, “Bipartisan Mengamankan Undang-Undang Perangkat Lunak Sumber Terbuka [PDF] akan memastikan bahwa pemerintah AS mengantisipasi dan memitigasi kerentanan keamanan dalam perangkat lunak sumber terbuka untuk melindungi data paling sensitif orang Amerika.”

RUU ini mengusulkan bahwa sejak keamanan Log4j ledakan pada tahun 2021, dan itu gempa susulan yang terus berlanjut, menunjukkan betapa rentannya kita terhadap serangan kode sumber terbuka, itu Badan Keamanan Siber dan Infrastruktur (CISA) harus membantu “memastikan bahwa perangkat lunak sumber terbuka digunakan dengan aman dan terjamin oleh pemerintah federal, infrastruktur penting, dan lainnya.”

Lagi pula, rilis pemerintah 22 September yang memperkenalkan undang-undang tersebut menambahkan, "Sebagian besar komputer di dunia bergantung pada kode sumber terbuka." Ini jauh dari pertama kalinya pemerintah federal memperhatikan betapa pentingnya perangkat lunak sumber terbuka bagi semua orang. Pada bulan Januari, Komisi Perdagangan Federal AS memperingatkan hal itu menghukum perusahaan yang tidak memperbaiki masalah keamanan Log4j mereka.

Pemerintah AS telah lama mendukung perangkat lunak sumber terbuka. Misalnya, sejak tahun 2000, National Security Agency membantu menciptakan Security-Enhanced Linux (SELinux). Dan, pada tahun 2016, Chief Information Officer AS saat itu Tony Scott mengusulkan kebijakan pengkodean pro-sumber terbuka yang mengharuskan “perangkat lunak baru yang dikembangkan secara khusus untuk atau oleh pemerintah federal tersedia untuk dibagikan dan digunakan kembali di seluruh agen federal. Ini juga mencakup program percontohan yang akan menghasilkan sebagian dari kode bea cukai baru yang didanai federal yang dirilis ke publik.

Juga: XeroLinux bisa menjadi desktop Linux terindah di pasaran

Namun, Undang-Undang Perangkat Lunak Sumber Terbuka Mengamankan, memindahkan sumber terbuka dari ranah kebijakan dan keputusan regulasi ke dalam undang-undang federal. RUU ini akan mengarahkan CISA untuk mengembangkan kerangka kerja risiko guna mengevaluasi bagaimana kode sumber terbuka digunakan oleh pemerintah federal. CISA juga akan memutuskan bagaimana kerangka kerja yang sama dapat digunakan oleh pemilik dan operator infrastruktur penting.

Menurut Yayasan Keamanan Sumber Terbuka (OpenSSF) dalam analisisnya terhadap UU tersebut, “CISA akan menghasilkan kerangka penilaian awal untuk menangani risiko kode sumber terbuka, menggabungkan kerangka kerja komunitas pemerintah, industri, dan sumber terbuka serta praktik terbaik dari keamanan perangkat lunak.” 

Singkatnya, CISA tidak akan mencoba untuk menemukan kembali roda, melainkan menggunakan yang terbaik dari teknik keamanan open-source yang ada. Ini mengikuti jejak Perintah Eksekutif Presiden Joseph Biden tentang Meningkatkan Keamanan Siber Bangsa, yang menyatakan bahwa pengembang harus memberikan "pembeli dengan SBOM [Bill of Material Perangkat Lunak] untuk setiap aplikasi."

Undang-undang tersebut juga akan mewajibkan CISA untuk mengidentifikasi cara-cara untuk memitigasi risiko perangkat lunak sumber terbuka. Untuk mewujudkannya, CISA harus mempekerjakan pengembang sumber terbuka untuk mengatasi masalah keamanan. Ini juga mengusulkan agar beberapa agen Federal mulai Kantor Program Sumber Terbuka (OSPO). Akhirnya, Office of Management and Budget (OMB) akan diminta untuk mendanai subkomite keamanan perangkat lunak CISA dan mengeluarkan panduan federal tentang bagaimana pengguna dapat mengamankan perangkat lunak sumber terbuka.

Orang-orang yang mengikuti keamanan open-source dengan cermat telah mendengar banyak tentang ini sebelumnya. Seperti yang dicatat oleh OpenSSF, “Beberapa ide terdengar akrab bagi kami — misalnya, penggunaan SBOM, pentingnya praktik keamanan proses pengembangan, pembuatan, dan rilis), dan seruan untuk kerangka kerja penilaian risiko [gema] kami Aliran Dasbor Penilaian Risiko dari kami Rencana Mobilisasi. "

Tapi, yang mengejutkan, RUU itu melewatkan poin lain. Misalnya, semua perangkat lunak, bukan hanya open source, harus diperiksa potensi risikonya. Sebagai Brad Arkin, SVP Cisco dan kepala petugas keamanan dan kepercayaan, bersaksi kepada Kongres tentang Log4J: “Perangkat lunak sumber terbuka tidak gagal, seperti yang disarankan beberapa orang, dan salah kaprah jika menyarankan bahwa kerentanan Log4j adalah bukti kelemahan unik atau peningkatan risiko dengan perangkat lunak sumber terbuka. Yang benar adalah bahwa semua perangkat lunak mengandung kerentanan karena kekurangan yang melekat pada penilaian manusia dalam merancang, mengintegrasikan, dan menulis perangkat lunak.”

Juga: Saatnya berhenti menggunakan C dan C++ untuk proyek baru, kata Microsoft Azure CTO

Namun, meskipun RUU tersebut mungkin tidak sempurna, OpenSSF mengatakan bahwa pihaknya “berkomitmen untuk berkolaborasi dan bekerja baik di hulu maupun dengan komunitas yang ada untuk memajukan keamanan sumber terbuka untuk semua. Kami berharap dapat berkolaborasi dengan pembuat kebijakan di seluruh dunia untuk meningkatkan keamanan perangkat lunak yang kita semua andalkan.”

OpenSSF bukan satu-satunya grup yang bersedia bekerja sama dengan pemerintah untuk meningkatkan keamanan sumber terbuka secara mendasar, tetapi juga memiliki kekhawatiran. Inisiatif Sumber Terbuka (OSI) Direktur Kebijakan AS Deb Bryant khawatir Kongres sedang "membangun kerangka kerja yang ditargetkan untuk memperlakukan open source sebagai kelas perangkat lunak khusus alih-alih memecahkannya untuk semua perangkat lunak."

Heather Meeker, seorang pengacara sumber terbuka terkenal dan Modal OSS mitra umum, menambahkan dengan lebih optimis, “Senang melihat upaya bipartisan untuk meningkatkan manajemen keamanan dalam infrastruktur perangkat lunak — termasuk perangkat lunak sumber terbuka. Pasar swasta telah lama menuntut peningkatan ini, melalui permintaan dan harapan pelanggan untuk vendor perangkat lunak dan layanan cloud. Tetapi pengawasan pemerintah dapat membantu mempercepat upaya peningkatan di luar pengaturan vendor komersial, atau dalam situasi di mana kekuatan pasar vendor memungkinkan vendor untuk menolak permintaan pelanggan.”

Tentu saja, hanya karena sebuah undang-undang mencapai Kongres tidak berarti itu akan menjadi undang-undang. Tetap saja, itu panitia memajukan tagihan ke lantai Senat pada 29 September. Itu sangat cepat untuk tagihan apa pun tentang masalah apa pun. Jika lolos Kongres, tampaknya tidak ada keraguan bahwa Biden akan menandatanganinya menjadi undang-undang. Jika beruntung, mengamankan perangkat lunak sumber terbuka akan menjadi hukum negara pada tahun 2023. 

Cerita terkait: