Detail

Meningkatkan Keamanan Dengan Mengabaikan Fungsi Kerentanan (Vulnerable Function)

Wed, Nov 07 2018 | Author: PT. Central Data Technology

 

Secara umum, pernyataan "mengabaikan kerentanan" bukanlah sesuatu yang ingin anda dengar dari perusahaan keamanan manapun. Kerentanan bertanggung jawab atas pelanggaran terbesar sehingga mereka akan menganalisis rekomendasi pasca-mortem. Anda tentu tidak seharusnya mengabaikan semua kerentanan, tetapi ternyata ada kelas kerentanan yang dapat Anda abaikan saat ini dengan aman atau paling tidak dipersiapkan untuk masa yang akan datang. Menurut laporan dari 2018 State of Open Source Vulnerability Management dari WhiteSource Software pada tahun 2018.

Selain beberapa statistik yang sangat menarik, laporan ini mengemukakan gagasan bahwa kerentanan open source dapat dikelompokkan menjadi dua kategori: tidak efektif dan efektif.

Premis kategorisasi WhiteSource adalah bahwa beberapa kerentanan tidak efektif yaitu mereka tidak dapat dieksploitasi karena mereka tidak menggunakan kode khusus. Mampu menganalisis dan membedakan, yang artinya keamanan dan pengembang dapat berfokus pada kerentanan yang dianggap efektif dan dengan demikian mengurangi waktu serta upaya sekaligus meningkatkan keamanan aplikasi secara keseluruhan.

Misalnya, pertimbangkan aplikasi khusus yang bergantung pada komponen open source yang berisi “vulnerable function”. Berdasarkan definisi White Source, fungsi rentan dalam contoh ini mungkin dinyatakan "tidak efektif" karena tidak pernah dilihat oleh aplikasi kustom. Pembaca yang pintar akan mencatat bahwa vulnerable function dapat dipanggil oleh komponen Open Source (baik komponen lain atau yang sama) dan dengan demikian menjadikannya efektif.

White Source memungkinan untuk memperluas kategorisasi mereka dengan catatan bahwa kemungkinan ini dapat dipertimbangkan. Jika vulnerable code dipanggil baik dari kode khusus atau secara tidak langsung melalui komponen open source lain, akan diberi label "efektif". Sebaliknya, jika tidak ada, dapat melewati jalur langsung atau tidak langsung.

Mengingat bahwa penelitian WhiteSource tidak hanya menetapkan bahwa 96,8% pengembang bergantung pada komponen sumber terbuka, tetapi 7,5% dari semua proyek rentan, mampu memprioritaskan kerentanan mana yang akan dipusatkan pasti akan menjadi anugerah. White Source lebih lanjut menetapkan bahwa kekalahan 64% dari produk open source ditemukan mengandung hanya kerentanan yang tidak efektif, yang mereka anggap dapat dengan aman diabaikan.

White Source menyatakan bahwa hampir 3500 kerentanan yang dilaporkan pada tahun 2017, peningkatan sebesar 60% dibandingkan tahun 2016. Tidak semua dari 3500 melaporkan kerentanan mempengaruhi setiap aplikasi atau organisasi, tetapi kita harus ingat bahwa angka-angka ini accretive. Yaitu, 3500 adalah kerentanan baru yang ditambahkan ke total berjalan.

Ancaman eksistensial dari kerentanan yang tidak efektif hampir tidak ada. Yang mengabaikan kerentanan yang tidak efektif mungkin bukan pendekatan jangka panjang terbaik. Ada kemungkinan bahwa pada akhirnya kerentanan seperti itu akan efektif. Perubahan dalam kode kustom sebagai fitur tambahan dan ditingkatkan, serta perubahan dari waktu ke waktu ke komponen open source dapat mengarah pada pembukaan jalan yang memanggil vulnerable function. Hal ini adalah salah satu alasan mengapa analisis kode sumber khusus untuk kerentanan harus dilakukan terus-menerus.

Tetapi untuk kepentingan memenuhi tenggat waktu dan menggunakan waktu pengembang secara efisien, mendorong kerentanan "tidak efektif" ke belakang antrean sehingga kerentanan "efektif" dapat diperbaiki sesegera mungkin dan menjadi salah satu cara yang lebih baik jika pengembang dapat meningkatkan keamanan saat ini.

Tentang Central Data Technology

Central Data Technology merupakan salah satu Value Added Distributor terbesar di Indonesia. Central Data Technology sebagai Perusahaan teknologi informasi yang mendistribusikan berbagai brand terkemuka di dunia Teknologi Informasi antara lain Oracle, F5, Fujitsu, Hitachi Vantara, Commvault, Talend, Pentaho, Mapr, Apple, AWS, dan Sundray. Central Data Technology telah menjadi penyedia berbagai solusi untuk Security, Server Storage, Database, Backup, WLAN, dan Cloud yang terdepan.

Info lebih lanjut hubungi : marketing@centraldatatech.com

 

 

Sumber artikel :

www.f5.com/company/blog/improving-security-by-ignoring-vulnerabilities