Open Source

‘Kami menemukan bug jauh lebih cepat daripada yang dapat kami perbaiki’: Google mensponsori 2 pengembang penuh waktu untuk meningkatkan keamanan Linux

February 25, 2021 by Mally

Khawatir tentang keamanan Linux dan kode open-source, Google mensponsori sepasang pengembang penuh waktu untuk mengerjakan keamanan kernel.

Raksasa internet membangun kode dari repositori sendiri daripada mengunduh binari luar, meskipun mengingat kecepatan di mana kode ditambahkan ke Linux, tugas ini tidak sepele. Pimpinan tim keamanan open-source Google Dan Lorenc berbicara dengan The Register tentang pendekatannya, dan mengapa ia tidak akan menggunakan biner yang sudah dibuat sebelumnya meskipun mereka nyaman.

Lorenc menjelaskan beberapa langkah yang diambil Google untuk memastikan keamanan kode open-source yang digunakannya secara internal, termasuk Linux. “Salah satu hal yang kami coba lakukan untuk open-source apa pun yang kami gunakan, dan sesuatu yang kami rekomendasikan untuk digunakan oleh siapa pun, adalah dapat membuatnya sendiri. Tidak mudah atau sepele untuk membangunnya, tetapi mengetahui bahwa Anda dapat melakukannya adalah setengah pertempuran, jika Anda perlu.

“Kami mengharuskan semua open source yang kami gunakan dibuat oleh kami, dari repositori internal kami, hanya untuk membuktikan bahwa kami bisa, jika kami perlu membuat tambalan, dan agar kami memiliki asal yang lebih baik, mengetahui dari mana asalnya. Secara teknis mereka adalah percabangan, tetapi hanya salinan dari repo [publik] yang kami terus perbarui. Kami jarang membawa tambalan dalam jangka panjang di salah satu proyek yang kami kerjakan, itu hanya mimpi buruk pemeliharaan, tetapi kami bisa jika kami bisa perlu.

selengkapnya : TheRegister

Peneliti meretas Microsoft, Apple, dan lebih banyak lagi dalam serangan rantai pasokan baru

February 10, 2021 by Mally

Seorang peneliti berhasil menembus lebih dari 35 sistem internal perusahaan besar, termasuk Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, dan Uber, dalam serangan rantai pasokan perangkat lunak baru.

Serangan itu terdiri dari mengunggah malware ke repositori open source termasuk PyPI, npm, dan RubyGems, yang kemudian didistribusikan secara otomatis ke dalam aplikasi internal perusahaan.

Tidak seperti serangan typosquatting tradisional yang mengandalkan taktik rekayasa sosial atau korban salah mengeja nama paket, serangan rantai pasokan khusus ini lebih canggih karena tidak memerlukan tindakan apa pun dari korban, yang secara otomatis menerima paket berbahaya tersebut.

Ini karena serangan tersebut memanfaatkan cacat desain unik dari ekosistem sumber terbuka yang disebut dependency confusion. Untuk upaya penelitian etisnya, peneliti keamanan Alex Birsan telah menghasilkan lebih dari $130.000 dalam bentuk bug bounty.

Melalui penelitian yang mencakup organisasi besar ini, Birsan mengatakan dia telah membuat perusahaan teknologi terkemuka menyadari jenis serangan ini yang sekarang telah menerapkan semacam mitigasi di seluruh infrastruktur mereka. Namun, peneliti yakin masih banyak yang bisa ditemukan.

Untuk informasi lebih lengkap mengenai temuan Birsan dan bagaimana ia melakukan serangan rantai pasokan yang berhasil terhadap perusahan-perusahaan besar, kunjungi situs di bawah ini.

Selengkapnya: Bleeping Computer

Bagaimana Anda memperbaiki masalah seperti keamanan sumber terbuka? Google punya ide meskipun kendala mungkin tidak berjalan dengan baik

February 5, 2021 by Mally

Google telah mengusulkan kerangka kerja untuk mendiskusikan dan menangani keamanan sumber terbuka berdasarkan faktor-faktor seperti identitas terverifikasi, tinjauan kode, dan bangunan tepercaya, tetapi pendekatannya mungkin bertentangan dengan budaya sumber terbuka.

Keamanan perangkat lunak sumber terbuka sangat penting karena penggunaannya yang luas, dari kernel Linux tempat sebagian besar internet berjalan hingga library JavaScript kecil yang dibangun ke dalam jutaan aplikasi web, terkadang melalui rantai dependency yang agak tersembunyi dari pengembang. Kerentanan seperti yang ditemukan baru-baru ini di utilitas sudo penting memengaruhi jutaan sistem.

Sebuah tim dari Google kini telah memposting panjang lebar tentang masalah tersebut dengan harapan dapat “memicu diskusi dan kemajuan industri secara luas dalam keamanan perangkat lunak open source.”

Google menyarankan bahwa “perangkat lunak sumber terbuka harus mengurangi risiko di bagian depan keamanan, karena semua kode dan dependency berada di tempat terbuka dan tersedia untuk pemeriksaan dan verifikasi,” tetapi mencatat bahwa ini hanya berlaku jika orang-orang “benar-benar melihat”.

Tim Google mengakui bahwa tujuannya untuk perangkat lunak kritis “lebih berat dan oleh karena itu akan menemui beberapa hambatan, tetapi kami yakin kendala tambahan sangat penting untuk keamanan.”

Proposal Google mencakup beberapa hal spesifik, dengan catatan bahwa beberapa ide hanya ditujukan untuk perangkat lunak sumber terbuka yang dikategorikan sebagai kritis.

Selengkapnya: The Register

Google open-source Atheris, alat untuk menemukan bug keamanan dalam kode Python

December 10, 2020 by Mally

Pakar keamanan Google telah merilis utilitas fuzzing otomatis open-source lainnya dengan harapan pengembang akan menggunakannya untuk menemukan bug keamanan dan menambal kerentanan sebelum dieksploitasi.

Dinamakan Atheris, proyek ini adalah fuzzer klasik.

Fuzzer (atau alat fuzzing) dan teknik fuzzing bekerja dengan memberi data acak dalam jumlah besar ke aplikasi perangkat lunak dan menganalisis output nya untuk mengetahui ketidaknormalan dan kerusakan, yang memberi petunjuk kepada pengembang tentang keberadaan dan lokasi kemungkinan bug dalam kode aplikasi.

Selama bertahun-tahun, peneliti keamanan Google telah menjadi promotor terbesar dalam menggunakan alat fuzzing untuk menemukan tidak hanya bug biasa, tetapi juga kerentanan berbahaya yang dapat dieksploitasi oleh penyerang.

Atheris adalah jawaban Google atas meningkatnya popularitas bahasa pemrograman Python, yang saat ini menduduki peringkat ke-3 dalam indeks TIOBE bulan lalu. Google telah membuat kode Atheris menjadi open source di GitHub, dan fuzzer juga tersedia di PyPI, repositori paket Python.

Sumber: ZDNet

Kerentanan keamanan perangkat lunak open-source ada selama lebih dari empat tahun sebelum terdeteksi

December 4, 2020 by Mally

Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.

Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.

Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.

Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.

Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.

Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.

Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.

Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.

Sumber: ZDNet

The Open Source Security Foundation: Bersatu Untuk Keamanan Sumber Terbuka Yang Lebih Baik

August 5, 2020 by Mally

The Linux Foundation telah memulai Open Source Security Foundation (OpenSSF). Sebuah Grup lintas industri yang menyatukan para pemimpin sumber terbuka (open-source) dengan membangun komunitas keamanan yang lebih luas.

OpenSSF menggabungkan upaya dari Core Infrastructure Initiative (CII), Koalisi Keamanan Sumber Terbuka GitHub, dan perusahaan yang mengerti keamanan sumber terbuka lainnya seperti GitHub, GitLab, Google, IBM, Microsoft, Grup NCC, Yayasan OWASP, Red Hat, dan VMware .

Karena open source telah menjadi sangat penting bagi teknologi dan mempengaruhi semua pengguna, rantai suplai kontributor dan dependensi open-source harus memiliki keamanan yang diverifikasi dari awal hingga akhir. Verifikasi ini akan mulai dilakukan dengan menyatukan inisiatif keamanan open-source CII yang ada dan Koalisi Keamanan Sumber Terbuka.

Microsoft, yang dulu pernah menjadi musuh open-source, juga telah bergabung dengan Open Source Security Foundation (OpenSSF) untuk membantu menciptakan ekosistem perangkat lunak sumber terbuka yang lebih sehat dan lebih aman untuk semua orang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Open Source

Cookies Settings