Mengamankan Rantai Pasok Perangkat Lunak Open Source di Tengah Meningkatnya Risiko
Di era digital saat ini, perangkat lunak open source menjadi fondasi utama bagi banyak aplikasi dan layanan di seluruh dunia. Ketergantungan yang tinggi pada komponen open source membawa efisiensi dan inovasi, namun juga membuka pintu bagi risiko keamanan siber yang signifikan. Rantai pasok perangkat lunak telah menjadi target menarik bagi aktor jahat yang berupaya menyusup atau mengeksploitasi kerentanan dalam dependensi yang digunakan. Mengelola risiko ini memerlukan pendekatan yang cermat dan alat yang tepat untuk memastikan integritas dan keamanan kode yang digunakan.
Melampaui SBOM: Kebutuhan akan Konteks Kerentanan
Penggunaan Software Bill of Materials (SBOM) telah menjadi praktik standar yang baik, memberikan daftar transparan tentang semua komponen yang ada dalam sebuah perangkat lunak. Namun, SBOM saja seringkali tidak cukup untuk menilai risiko secara akurat. Sebuah SBOM mungkin mencantumkan komponen dengan kerentanan yang diketahui, tetapi tidak memberikan informasi apakah kerentanan tersebut benar-benar dapat dieksploitasi dalam konteks spesifik di mana komponen itu digunakan. Inilah mengapa data Vulnerability Exploitability eXchange (VEX) menjadi sangat penting. VEX memberikan informasi tambahan mengenai status kerentanan dalam produk tertentu, apakah terpengaruh, tidak terpengaruh, atau telah diperbaiki, memungkinkan penilaian risiko yang lebih bernuansa.
VET: Alat Baru untuk Memanfaatkan Data VEX
Menyadari kesenjangan antara ketersediaan data SBOM dan kebutuhan akan konteks VEX yang dapat ditindaklanjuti, CISA dan Google telah berkolaborasi memperkenalkan VET. VET, atau Vulnerability Exploitability eXchange Translation, dirancang untuk membantu organisasi dalam memanfaatkan data VEX secara lebih efektif. Tujuannya adalah menjembatani kesenjangan dan membuat informasi VEX lebih mudah diakses, dipahami, dan diintegrasikan ke dalam alur kerja keamanan yang ada. Dengan demikian, VET membantu meningkatkan visibilitas organisasi terhadap risiko aktual yang ditimbulkan oleh kerentanan pada komponen open source mereka.
Meningkatkan Postur Keamanan dengan Penilaian Risiko yang Lebih Baik
Adopsi alat seperti VET menawarkan manfaat signifikan bagi organisasi yang sangat bergantung pada open source. Dengan kemampuan untuk memproses dan menggunakan data VEX secara lebih efisien, tim keamanan dapat melakukan penilaian risiko yang jauh lebih akurat. Ini memungkinkan prioritasi remediassi yang lebih baik, memfokuskan sumber daya pada kerentanan yang benar-benar menimbulkan ancaman eksploitasi. Pada akhirnya, ini berkontribusi pada ketahanan siber yang lebih kuat, mengurangi permukaan serangan, dan membangun kepercayaan yang lebih besar terhadap rantai pasok perangkat lunak yang digunakan. VET mewakili langkah maju dalam menjadikan keamanan rantai pasok open source lebih proaktif dan berbasis data.
Sumber: https://www.helpnetsecurity.com/2025/06/03/vet-open-source-software-supply-chain-security-tool/