Perangkat lunak open-source telah menjadi target utama dalam gelombang ancaman keamanan siber yang meningkat. Ketika serangan tumbuh lebih canggih, komunitas open-source berlomba untuk menutup celah keamanan kritis dan menghentikan kode jahat sebelum menyebar.
Dengan kode open-source yang digunakan di sebagian besar perangkat lunak komersial, risiko infeksi merajalela di sebagian besar industri. Ini sangat diperlukan dan diabaikan berbahaya, kata Jason Soroko, rekan senior di perusahaan manajemen siklus hidup sertifikat Sectigo.
“Dengan 86% basis kode yang menyimpan kerentanan dan tiga kali lipat dalam file open source diperhitungkan selama empat tahun, aplikasi modern telah meningkatkan permukaan serangan mereka tanpa pengawasan yang memadai,” katanya kepada Linuxinsider.
Dia mendesak tim keamanan untuk merombak strategi mereka. Pemindaian paket tradisional kehilangan lebih dari 20% dependensi, mengekspos titik buta yang diperkenalkan oleh praktik pengkodean alternatif dan alat AI.
Soroko mengatakan beberapa laporan baru-baru ini menawarkan lebih dari sekadar panggilan bangun. Mereka mengeluarkan mandat untuk tata kelola proaktif.
Upaya untuk mengatasi lonjakan ancaman sumber terbuka
Langsung Patching dan Firma Keamanan Linux Tuxcare 2025 Enterprise Linux dan Open Source Landscape Report – Tersedia sebagai unduhan gratis – menanggung prognosis itu. Ini menemukan tiga tren signifikan tahun ini yang memicu panggilan bangun untuk para ahli keamanan dan pengguna perangkat lunak di semua platform.
Petugas Pendapatan Tuxcare Michael Canavan memperingatkan bahwa ada perbedaan yang jelas antara persepsi tingkat kerentanan dan ancaman aktual.
“Banyak temuan laporan lain juga melukiskan gambaran ruang open source dan perusahaan Linux yang mengalami inovasi dan gangguan yang berkelanjutan di samping tantangan keamanan yang berkelanjutan,” katanya kepada Linuxinsider.
Laporan 62 halaman ini, yang dirilis pada bulan Februari, diikuti oleh penelitian lain yang menunjukkan bagaimana kode berbahaya yang meluas telah berkembang dan mudah digunakan terhadap target apa pun. Juga dirilis pada bulan Februari, para peneliti di perusahaan keamanan aplikasi Apiiro mendeteksi dan menganalisis ribuan contoh kode berbahaya dalam repositori dan paket perangkat lunak, dengan yang baru muncul setiap hari.
Laporan tersebut menggambarkan bagaimana jutaan repositori GitHub dikloning dan terinfeksi pemuat malware, menurut Matan Giladi, seorang peneliti keamanan di APIIRO. Kebingungan adalah kunci dalam memblokir deteksi serangan.
“Metode pengayaan berevolusi terus menerus. Metode kebingungan yang diketahui banyak, masing -masing mengambil berbagai bentuk, membuat deteksi dan pemisahan dari kode jinak sangat menantang,” katanya kepada Linuxinsider.
Kesenjangan dalam persepsi merusak keamanan Linux
Salah satu wahyu besar dalam laporan Tuxcare adalah ketidakselarasan antara persepsi profesional keamanan. Ada keterputusan yang signifikan antara persepsi profesional keamanan tentang tingkat kerentanan dan lanskap ancaman sejati.
Sekitar setengah dari responden percaya volume kerentanan tetap stabil pada tahun 2024 dibandingkan dengan 2023. Namun, data menunjukkan peningkatan 25% secara keseluruhan dan peningkatan 12 kali lipat dalam kerentanan spesifik Linux. Perkiraan ini dapat berdampak negatif terhadap strategi keamanan, alokasi anggaran, dan perencanaan respons insiden.
“Organisasi harus bergerak melampaui pemikiran reaktif dan menerapkan pemindaian kerentanan yang berkelanjutan, integrasi intelijen ancaman, dan pelaporan transparan. Anda tidak dapat mengamankan apa yang tidak Anda pahami secara akurat. Data menunjukkan terlalu banyak tim yang masih terbang buta.” Kata Canavan.
Laporan tersebut mencatat penurunan kepercayaan yang signifikan dalam keamanan rantai pasokan sumber terbuka-dari 23,81% menjadi 12,31%. Penurunan ini kemungkinan mencerminkan peningkatan kesadaran akan serangan rantai pasokan, seperti insiden backdoor XZ, yang memiliki dampak luas dan menyebabkan 70% organisasi meninjau proses rantai pasokan open-source mereka.
Canavan mengakui bahwa kepercayaan pada rantai pasokan sumber terbuka sedang mengikis, dan memang seharusnya begitu. Organisasi harus mengadopsi pola pikir nol-peradangan dengan praktik-praktik seperti penegakan Bill of Material (SBOM), audit ketergantungan rutin, dan sumber kode sumber yang diverifikasi.
Open Source bukan masalahnya; Konsumsi yang tidak diverifikasi dan tidak dikelola adalah. Dia mendesak merawat keamanan rantai pasokan perangkat lunak dengan kekakuan yang sama dengan infrastruktur fisik.
Lebih banyak temuan utama dalam laporan Cyber Tuxcare
Ketergantungan pada otomatisasi penuh dalam proses keamanan turun dari 14,48% menjadi 2,56%. Tren ini menunjukkan peningkatan pengakuan akan perlunya pengawasan manusia di samping otomatisasi untuk keamanan yang efektif.
“Otomatisasi sangat penting, tetapi tidak dapat menggantikan penilaian. Retret dari otomatisasi penuh mencerminkan koreksi yang diperlukan,” kata Canavan.
Keahlian manusia sangat penting untuk prioritas kerentanan, validasi patch, dan respons insiden. Otomatisasi harus menangani tugas yang berulang dan dapat diskalakan, sementara manusia harus menangani yang ambigu dan strategis.
“Lingkungan yang paling tangguh adalah di mana keduanya bekerja secara harmonis,” tambahnya.
Insiden crowdstrike dan penemuan backdoor XZ Utils secara signifikan meningkatkan kesadaran tentang risiko rantai pasokan perangkat lunak. Crowdstrike dilaporkan menyebabkan kerugian langsung yang dapat mencapai $ 5,4 miliar bagi perusahaan Fortune 500, menyoroti konsekuensi keuangan yang signifikan dari pelanggaran keamanan. Dengan 83,6% responden menyadari kejadian XZ, persepsi keamanan open-source menderita kerusakan serius.
Organisasi semakin mengadopsi AI untuk pengurangan biaya (naik dari 35% menjadi 53%) daripada terutama untuk inovasi (yang telah menurun) – menunjukkan pandangan matang dari AI sebagai alat bisnis praktis yang berfokus pada efisiensi.
“Ketika adopsi AI bergeser dari inovasi ke efisiensi biaya, kita akan melihat permintaan perusahaan yang berkembang untuk alat AI open-source yang ringan dan dibangun khusus yang menawarkan penyebaran cepat dan ROI yang terukur,” prediksi Canavan.
“Pivot ini juga kemungkinan akan mendorong lebih banyak kontribusi yang ditargetkan untuk proyek -proyek yang mengoptimalkan sumber daya komputasi, merampingkan alur kerja, dan menyederhanakan integrasi ke tumpukan perusahaan yang ada.”
Alat baru bertujuan untuk mendeteksi kode berbahaya lebih awal
Sampai sekarang, CISO harus membayar biaya yang signifikan untuk bertahan terhadap kode jahat, dengan organisasi sering menginvestasikan ratusan ribu dolar per tahun. Apiiro berharap dua solusinya, tersedia di GitHub, mengubah skenario itu.
Peraturan pertama, SEMGREP, mendeteksi eksekusi kode dinamis dan pola kebingungan yang ditemukan dalam sebagian besar insiden yang dilaporkan kode yang dilaporkan. Ini hanya mencakup aturan dengan tingkat positif palsu yang rendah dan korelasi yang kuat dengan kode berbahaya. Menurut Giladi, aturan ini terintegrasi dengan pipa CI/CD, memungkinkan deteksi pada tahap apa pun.
Yang kedua, mencegah, memungkinkan pemantauan real-time dari permintaan tarik, menegakkan kebijakan, dan memicu alur kerja. Alat ini berfungsi bersama dengan SEMGREP.
“Alur kerja yang ada tidak memberikan atau cakupan minimal untuk pola-pola ini, dan yang menghasilkan sejumlah besar positif palsu,” kata Giladi, merujuk pada anti-pola dalam kode jahat.
Dia menambahkan bahwa alat analisis biner mendeteksi malware dalam kode yang dikompilasi, dan alat analisis statis memindai kerentanan. Namun, tidak mendeteksi kode berbahaya yang ditambahkan ke kode sumber atau siklus hidupnya.
“Yang terdekat adalah pemindai kode berbahaya di open source, yang mungkin membantu para peneliti tetapi tidak praktis untuk organisasi karena tingginya rasio positif palsu dan cakupan terbatas,” katanya.
Mengurangi positif palsu dalam deteksi ancaman
Penelitian Apiiro menentukan bahwa anti-pola yang diidentifikasi jarang terjadi pada kode jinak. Namun, mereka juga menemukan beberapa skenario potensial di mana kode yang sah mungkin menunjukkan pola -pola ini. Pendekatan perusahaan meminimalkan positif palsu.
Menurut Giladi, sebagian besar positif palsu muncul dari deteksi data yang dikodekan. Keduanya adalah favorit penyerang dan topik dengan kurangnya kesadaran yang signifikan.
“Meskipun disepakati bahwa kode harus dapat dibaca, dan data yang dikodekan tidak dapat dibaca, banyak pengembang mengandalkan praktik yang sudah ketinggalan zaman. Umumnya, kepatuhan terhadap standar pengkodean seperti pedoman Google/Microsoft menghilangkan positif palsu,” tambahnya.
Ubiquity open source meningkatkan risiko
Rilis terbaru dari perusahaan cybersecurity Black Duck's Source Security and Risk Analysis (OSSRA) Laporan – tersedia dengan Form Fill – menunjukkan bagaimana kode sumber terbuka yang meluas. Ini sangat ada di mana -mana sehingga dapat memperkenalkan risiko yang signifikan kecuali diidentifikasi dan dikelola secara memadai.
Laporan tersebut menemukan bahwa 86% dari basis kode komersial yang dievaluasi mengandung kerentanan perangkat lunak open-source, dan 81% mengandung kerentanan risiko tinggi atau kritis. Data Black Duck menunjukkan bahwa jumlah file open-source dalam aplikasi rata-rata tiga kali lipat dari lebih dari 5.300 pada tahun 2020 menjadi lebih dari 16.000 pada tahun 2024.
Temuan kunci tambahan meliputi:
- 90% dari basis kode yang diaudit ditemukan memiliki komponen open-source yang lebih dari empat tahun kedaluwarsa.
- JQuery, perpustakaan JavaScript yang banyak digunakan, adalah sumber kerentanan yang paling sering, dengan delapan dari 10 kerentanan berisiko tinggi teratas.
- Hanya 77% dependensi yang dapat diidentifikasi melalui pemindaian manajer paket, menunjukkan bahwa cara lain, termasuk asisten pengkodean AI, memperkenalkan sisanya. Bintik -bintik buta ini menyebabkan kerentanan yang tidak tertandingi, komponen yang sudah ketinggalan zaman, dan konflik lisensi.
- 97% dari basis kode yang dievaluasi berisi open source, dengan rata -rata 911 komponen OSS yang ditemukan per aplikasi. Dari perspektif industri, persentase berkisar dari 100% di perangkat keras komputer dan semikonduktor, EdTech, dan sektor aplikasi internet dan seluler hingga “rendah” 79% untuk manufaktur, industri, dan robotika.
“Temuan penelitian menunjukkan bahwa mengadopsi perangkat lunak open-source secara luas menimbulkan tantangan keamanan yang cukup besar. Banyak basis kode komersial menunjukkan kerentanan yang sangat berisiko, menunjukkan masalah sistemik,” kata Eric Schwake, direktur strategi keamanan siber di perusahaan keamanan API, Salt Security.