Garpu Paling Sulit

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Saya tahu sebagian besar industri menganggap ini sebagai aksi pemasaran, dan saya mengerti alasannya.

Sisi pengelolanya bahkan lebih sulit lagi. Terutama bagi sebagian besar pengelola yang peduli dan ingin membantu. Banyak yang tidak melakukannya, dan itu tidak masalah. Mereka tidak berhutang apa pun pada hilirnya. Beberapa perangkat lunak paling penting di internet dikelola oleh satu atau dua orang di waktu luang mereka. Pemindai otomatis dan laporan yang dihasilkan AI telah menguburnya dalam kebisingan berkualitas rendah selama bertahun-tahun. Dan tidak seperti perangkat lunak komersial, pengelola sumber terbuka tidak memiliki kontrak atau SLA. Tidak ada jaminan patch akan ditulis, digabungkan, atau orang tersebut dapat dihubungi.

Rencana A: pengungkapan terkoordinasi yang benar-benar berfungsi dalam skala besar. Sebuah grup tunggal tepercaya yang mengarahkan laporan dan patch yang telah diperiksa sepenuhnya ke hulu, dan mendukung pengelola yang membutuhkan bantuan. Tidak selusin kelompok yang bersaing mengajukan tiket berisik. Sebuah upaya terkoordinasi yang diakui dan dipercaya oleh pengelola, sehingga laporan mereka ditempatkan di bagian atas setiap kotak masuk. Saat ini, Glasswing telah berhasil meng-upstream sekitar 6% temuannya. Program ini tidak akan pernah mencapai 100%. Itu bukanlah cara kerja long tail open source. Dugaan terbaik saya adalah kita bisa membuat pengungkapan terkoordinasi secara normal, dalam kondisi krisis, mungkin paling banter pada 50% proyek. Dan akan membutuhkan banyak usaha untuk mencapainya.

Rencana B: bagaimana kita menangani sisanya. Dan ini bukanlah perpecahan yang bersih. Ada proyek-proyek yang sangat berantakan di mana pengelola merespons tetapi tidak dapat mengirimkan perbaikan tepat waktu, atau ketika ada patch tetapi tidak ada orang di hilir yang mengambilnya. Untuk semua hal tersebut, dan untuk proyek yang pengelolanya tidak dapat atau tidak mau melakukan patch sama sekali, kami memerlukan pengelola sebagai pilihan terakhir. Open source memberi Anda hak untuk melakukan fork. Untuk mengambil sebuah proyek, mengambil alih tanggung jawab, dan menjaganya tetap hidup secara mandiri. Forking proyek yang mati atau tidak responsif sudah terjadi setiap hari. Namun di dunia dengan ratusan kerentanan yang dilaporkan oleh puluhan kelompok, kita perlu melakukan sentralisasi di satu tempat untuk mempertahankan fork yang dapat dipercaya oleh pengguna akhir. Memang akan ada keputusan sulit dan perasaan sakit hati, tapi itulah satu-satunya cara kita menghindari fragmentasi.

Hard fork: keputusan yang disengaja, terkoordinasi, dan menyakitkan untuk membangun infrastruktur kepercayaan baru untuk konsumsi open source. Satu jalur pengungkapan yang berfungsi dalam skala besar. Salah satu tempat terpercaya untuk merawat garpu. Keputusan sulit tentang proyek mana yang mengalami fork dan fork mana yang bertahan. Ini adalah pilihan yang paling sulit, dan satu-satunya pilihan yang nyata.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com