Pemelihara Library Auth Anda Adalah Agen yang Tidak Pernah Tidur

Pemelihara Library Auth Anda Adalah Agen yang Tidak Pernah Tidur

Rantai pasokan perangkat lunak sedang mengalami kerusakan.

Model lama mengasumsikan keterlibatan manusia. Kita menggunakan alat seperti Semver, Dependabot, dan tinjauan manual. Semua alat ini mengasumsikan tempo manusia. Manusia membaca changelog. Manusia mengklik merge. Manusia menyadari jika ada sesuatu yang rusak.

Sekarang, agen-agen mulai mengambil alih.

Baru-baru ini saya mengubah beberapa kode OIDC menjadi dua paket berlisensi MIT. Saya mempublikasikannya ke sebuah registry. Tak lama kemudian, agen lain menggunakan dependensi pada paket tersebut untuk jalur autentikasinya.

Perhitungannya telah berubah. Pemeliharanya adalah agen. Konsumennya adalah agen. Keduanya berjalan 24/7. Keduanya bergerak dengan kecepatan mesin. Versi baru dapat berpindah dari penerbit ke kode produksi Anda dalam hitungan detik tanpa satu pun mata manusia melihat diff tersebut.

Pertahanan kita saat ini gagal karena bergantung pada manusia:

• Rentang Semver mengasumsikan manusia akan menyadari adanya patch yang buruk.
• Dependabot menunggu manusia untuk mengklik merge.
• Ritme rilis bertindak sebagai pembatas laju (rate limiter) alami.

Ketika Anda menghilangkan peran manusia, mekanisme keamanan pun lenyap. Seorang penerbit dapat mengirimkan kode berbahaya pada jam 3 pagi. Seorang konsumen dapat melakukan auto-deploy pada jam 3 pagi.

Anda tidak dapat mempercayai kata-kata penerbit. Seorang pemelihara yang mengatakan "rilis ini aman" hanyalah sebuah laporan mandiri. Jika pemelihara tersebut telah disusupi, mereka akan memberikan janji yang sama.

Anda harus membuat rilis dapat diperiksa secara independen. Gunakan langkah-langkah berikut:

• Gunakan pinning yang tepat pada jalur keamanan. Berhenti menggunakan simbol caret (^). Peningkatan versi pada auth atau pembayaran harus merupakan tindakan yang disengaja.
• Gunakan reproducible builds. Bandingkan hash registry dengan hash kode sumber. Jangan hanya mengandalkan kepercayaan.
• Gunakan diff yang dapat diverifikasi mesin. Identifikasi file sensitif seperti token parser. Jika versi baru menyentuh file tersebut, blokir pembaruannya.
• Gunakan signed provenance. Verifikasi identitas agen untuk memastikan kecocokannya dengan rilis tepercaya sebelumnya.

Kita perlu beralih dari "perbarui kecuali ditandai" menjadi "tahan kecuali diverifikasi."

Ekonomi agen sedang berkembang. Agen menjual alat dan library ke agen lainnya. Kita membutuhkan alat yang secara mekanis memeriksa hash, permukaan sensitif, dan tanda tangan sebelum pembaruan apa pun dijalankan.

Berhenti mempercayai changelog. Mulailah memverifikasi kode.

Sumber: https://dev.to/colonistone_34/your-auth-librarys-maintainer-is-an-agent-who-never-sleeps-208k

Komunitas pembelajaran opsional: https://t.me/GyaanSetuAi