Larangan Linux University of Minnesota Menimbulkan Pertanyaan Tentang Open Source

Secara umum ada dua jenis peretas: mereka yang membobol sistem komputer untuk menemukan kerentanan guna memperbaikinya dan penjahat yang mengeksploitasi kelemahan untuk mencuri data dan menyandera organisasi.

Lalu ada Kangjie Lu, asisten profesor di University of Minnesota yang berspesialisasi dalam keamanan komputer. Dia mendapatkan ketenaran baru-baru ini karena sengaja menciptakan kerentanan di sistem perangkat lunak sumber terbuka paling terkemuka di dunia, kernel Linux. Setelah dia menerbitkan makalah akademis tentang eksploitasinya, tim kernel Linux melarang universitas tersebut dan mengembalikan perbaikan sebelumnya.

Kerentanan Kernel Linux yang Disengaja

Pengungkapan tersebut menimbulkan pertanyaan seputar keamanan sumber terbuka dan kernel OS, komponen dasar dari perangkat dan server yang tak terhitung jumlahnya. Lu mengubur kerentanan dalam beberapa perbaikan kecil yang dia dan seorang mahasiswa pascasarjana kirimkan ke gudang besar kode perangkat lunak Linux, merusak metode kolaboratif yang penting untuk menjaga keamanan program.

“Mereka sangat sukses,” kata Alexander Sereda, seorang manajer proyek yang berbasis di Toronto yang bergabung dengan jaringan Toptal pada tahun 2020. “Kode jahat mereka melewati pengawasan komunitas yang seharusnya menyingkirkan pengiriman semacam ini.”

Sementara Windows dan macOS mendominasi desktop, OS berbasis Linux sejauh ini paling populer untuk server dan superkomputer, dan Google menggunakan versi kernel yang dimodifikasi untuk Android. Raksasa teknologi seperti Red Hat telah membangun bisnis perangkat lunak perusahaan mereka di seputar open source dan bahkan Microsoft, yang selama bertahun-tahun dipandang sebagai lawan utama ekosistem open-source, telah bangkit: Pada 2018 ia membeli GitHub, host terbesar open-source. proyek sumber; hari ini, distribusi Linux dapat ditemukan di Microsoft Store.

Sulit untuk melebih-lebihkan penyebaran kernel Linux dan perangkat lunak sumber terbuka, berkembang dari barang-barang penghobi dan idealis menjadi landasan pasar perangkat lunak saat ini. Ada jutaan proyek sumber terbuka bagi pengembang untuk disaring, dan karena gratis dan sebagian besar dapat diandalkan, lebih dari 90% aplikasi komersial mengandung komponen seperti itu. Angka itu terus bertambah, menurut sebuah studi tahunan dari perusahaan desain silikon dan keamanan perangkat lunak Synopsys.

Menjadi andal sama pentingnya dengan menjadi gratis, dan komunitas open-source membanggakan diri dalam memberikan program yang setara dengan, jika tidak lebih baik dari, perangkat lunak berpemilik. Gerakan ini muncul pada 1990-an dengan prinsip utama, yang diciptakan oleh pengembang dan penulis Eric Raymond, bahwa "dengan cukup bola mata, semua bug itu dangkal." Sumber terbuka itu sejauh ini bertahan relatif tanpa cedera—bahkan ketika dunia menghadapi epidemi peretasan dan ransomware yang belum pernah terjadi sebelumnya—hanya penegasan lebih lanjut bahwa kolaborasi terbuka semacam itu masih bisa efektif.

Tetapi, seperti yang ditunjukkan Lu dalam penelitiannya, tidak ada keamanan yang sempurna, bahkan dalam sesuatu yang kritis dan diawasi secara ketat seperti kernel Linux. Meskipun menulis kode aman dapat dilakukan dengan mudah, menemukan kerentanan dalam kode setelah fakta bisa sangat sulit—“seperti mengeluarkan susu dari teh Anda setelah diaduk,” kata Sereda. Sementara open source secara umum telah bekerja dengan baik, terlepas dari beberapa masalah signifikan seperti bug Heartbleed yang muncul pada tahun 2014, ada semakin banyak bukti bahwa pengembang, pada bagian mereka, mengambil terlalu banyak jalan pintas ketika memasukkan perangkat lunak gratis ke dalam mereka. produk.

Risiko Keamanan Sumber Terbuka

Dalam laporan tahunan 2021, Synopsys mengungkapkan bahwa setiap perusahaan di industri teknologi pemasaran yang diaudit memiliki open source dalam basis kode mereka dan 95% dari basis kode tersebut mengandung kerentanan. Ini menemukan hasil yang sama ketika melihat sektor kesehatan, sektor jasa keuangan, dan industri ritel dan e-commerce. Ada sejumlah alasan untuk hasil yang buruk, tetapi yang utama di antaranya adalah bahwa perangkat lunak terus berkembang menjadi lebih rumit, dan semakin sulit untuk melacak dan memantau komponen.

Open source memiliki catatan keamanan yang jauh lebih baik daripada produk berpemilik tetapi itu tidak menjamin bahwa itu akan selalu menjadi kualitas terbaik, kata Sam Watkins, pengembang full-stack lepas yang bergabung dengan jaringan Toptal pada tahun 2021. “Kami memiliki jaringan yang jauh lebih besar. masalah, yang merupakan program yang terlalu rumit. Itu tidak aman, meskipun bukan dari niat jahat. ”

Masalahnya kemudian belum tentu open source terlalu terbuka. Sebaliknya, itu adalah kesenjangan yang tetap ada karena tidak ada satu vendor yang mendorong patch untuk komunitas bahkan ketika siklus perangkat lunak terus menyusut, kata Timothy Mackey, ahli strategi keamanan utama di Synopsys. Anggaran yang ketat memaksa pemrogram untuk menggunakan jalan pintas yang tidak sempurna seperti sistem penilaian sederhana untuk memilih komponennya—berdasarkan popularitas, bukan kualitas. Ada beberapa layanan yang menawarkan pintasan seperti itu kepada programmer, termasuk Openbase, Stack Builder, dan Open Source Index, yang menyoroti proyek paling populer di GitHub.

Mengelola Kerentanan Sumber Terbuka

Menurut programmer dan akademisi, meskipun ada nilai dalam sistem peringkat sumber terbuka ini, perlu ada lebih banyak validasi dan pertimbangan saat menimbang opsi, daripada hanya mengambil komponen yang tampaknya paling cocok. Setiap organisasi harus menetapkan seperangkat praktik terbaik yang mencakup prinsip-prinsip untuk memilih perangkat lunak secara hati-hati yang memperhitungkan jumlah dukungan yang diperlukan dan risiko yang dihadapi. Perusahaan juga harus melacak dan sering memperbarui semua komponen sumber terbuka mereka.

Beberapa praktik terbaik lainnya yang diidentifikasi oleh pakar kami untuk dipertimbangkan meliputi:

• Menggunakan otomatisasi, memverifikasi proses, mendokumentasikan semuanya, dan menggunakan Git untuk melacak perubahan basis kode.
• Menciptakan komunitas yang positif, termasuk membantu orang-orang baru di open source yang bisa menjadi kolaborator penting.
• Menjaga semua rantai pasokan sumber terbuka dapat diaudit.
• Menggunakan wadah sumber terbuka yang berbagi kernel OS host.
• Mengidentifikasi komponen sumber terbuka yang paling penting, kemudian melacak masalah keamanannya, terlibat dengan pengembangnya, dan berkontribusi kembali ke proyek hulu dengan tambalan dan pendanaan.

Ann Barcomb, asisten profesor di Sekolah Teknik Schulich Universitas Calgary, menambahkan bahwa, idealnya, organisasi harus menggunakan serangkaian praktik terbaik untuk membangun perpustakaan produk yang telah disetujui sebelumnya sehingga perangkat lunak tidak pernah dipilih secara sewenang-wenang. Namun, dia mengakui bahwa proses ini memakan waktu, mahal, dan tidak banyak dilakukan.

“Anda menginginkan keamanan lebih, tetapi keamanan itu harus dibayar mahal,” kata Ayush Poddar, pengembang back-end lepas yang bergabung dengan Toptal pada 2021.

Platform seperti Black Duck, Sonatype, Snyk, dan WhiteSource menyediakan otomatisasi untuk membantu menemukan komponen sumber terbuka dalam tumpukan program komputer dan mengidentifikasi kerentanan. Namun, alat ini terbatas dan mengikuti patch kode adalah masalah lain yang semakin parah—Badan Keamanan Cybersecurity & Infrastruktur AS sering melaporkan ratusan kerentanan perangkat lunak baru per minggu.

“Anda tidak dapat menguji setiap kombinasi tentang bagaimana setiap bit kode dapat dieksekusi,” kata Aidan McManus, pensiunan eksekutif teknologi yang mengawasi arsitektur dan teknik TI di CA Technologies. “Itu akan memakan waktu bertahun-tahun.”

Mats Heimdahl, kepala Departemen Ilmu dan Teknik Komputer Universitas Minnesota, mencatat bahwa Kangjie dan para penelitinya juga menemukan banyak tambalan buruk di kernel yang terpisah dari bug yang mereka kirimkan. “Menurut pandangan saya, cukup jelas bahwa proses peninjauan manual oleh sukarelawan yang terlalu banyak bekerja dan kurang dihargai (bahkan oleh pengelola yang sangat terampil dan berdedikasi) pasti tidak akan sempurna,” tulis Heimdahl dalam email.

Fakta bahwa kerentanan tumbuh menimbulkan pertanyaan mendasar tentang bagaimana open source akan dikelola. Meskipun mempercepat inovasi, ini pada dasarnya adalah sumber daya bersama, perpustakaan besar perangkat lunak gratis yang menghemat $60 miliar konsumen per tahun dan juga meningkatkan keuntungan bagi perusahaan dengan memotong biaya pengembangan mereka. Mungkin ada terlalu banyak pengendara gratis, dengan sumber daya yang tidak cukup untuk pemeliharaan dan keamanan.

Larangan Kernel Linux Universitas Minnesota: Batasan yang Dipelajari

Meskipun tidak ada indikasi bahwa pemeriksaan perbaikan telah berubah, Linux Foundation sedang menetapkan serangkaian praktik terbaik untuk peneliti yang bekerja dengan kernel, dan merekomendasikan University of Minnesota untuk menunjuk peninjau untuk pengajuannya. Benar-benar tidak ada alternatif untuk meninjau kode dan komunitas yang ada sekarang melakukan pekerjaan yang wajar untuk mencegah kode berbahaya, kata Barcomb. Mengingat otonomi yang diperlukan untuk pekerjaan pengetahuan, katanya, "yang terbaik yang dapat Anda lakukan adalah memiliki proses untuk mengidentifikasi pelanggaran kepercayaan dan meresponsnya dengan tepat, dalam kasus terbaik sebelum perubahan dimasukkan."

Heimdahl mencatat bahwa lembaganya sedang mengorganisir sebuah komite untuk memberi nasihat tentang pengajuan tambalan sambil menunggu larangan dicabut.

Linux pernah menjadi ide orang luar, lawan yang berani dari pemikiran tradisional tentang perangkat lunak berpemilik, tetapi telah berkembang menjadi sesuatu yang lebih mirip proyek komersial. Huawei, Intel, dan Red Hat memimpin ratusan perusahaan yang secara teratur menyumbangkan kode ke kernel Linux. Sementara banyak dari perusahaan ini juga menyumbangkan uang ke Linux Foundation dan afiliasi Open Source Initiative, mungkin sudah waktunya untuk pendekatan yang lebih sistematis untuk mendukung perangkat lunak guna membantu meningkatkan keamanan ke depan—salah satu yang lebih menghargai manfaat dari perangkat lunak tersebut. sistem sumber terbuka yang penting.

“Orang-orang menerima begitu saja bahwa open source berfungsi,” kata Christopher Tozzi, dosen senior di Rensselaer Polytechnic Institute. “Ada generasi baru dari orang-orang yang belum benar-benar memikirkan masalah ini.”