Saya coba minta Gemini menjelaskannya. Saya juga bukan orang yang khusus menangani keamanan, jadi kurang paham juga.
[Laporan mendalam: Teknologi keamanan generasi berikutnya 'Capability Analysis' yang diperhatikan PyPI dan OpenSSF]
Seiring serangan rantai pasok yang mengancam ekosistem open source belakangan ini makin canggih, PyPI (Python Package Index) dan OpenSSF (Open Source Security Foundation) mempercepat penerapan 'Capability Analysis (analisis kemampuan/kapabilitas)' yang melampaui pendekatan pencocokan pola tradisional.
Inti teknologi ini adalah menembus bukan "apa yang diklaim sebuah paket", melainkan "apa yang benar-benar bisa dilakukannya".
Apa itu Capability Analysis (analisis kapabilitas)?
Jika pemeriksaan virus konvensional bekerja dengan mencocokkan "daftar buronan (signature malware yang sudah dikenal)", maka Capability Analysis memverifikasi "kemampuan perilaku" sebuah paket.
Sekalipun menyamar sebagai utilitas normal, untuk mengambil alih sistem atau mencuri informasi, paket itu pada akhirnya harus menggunakan sumber daya tertentu milik sistem operasi (jaringan, file, proses). Teknik analisis ini melacak apakah paket menjalankan 'hak istimewa sensitif (Capabilities)' berikut saat mengeksekusi kode.
Network: Apakah skrip instalasi diam-diam mengirim data ke IP eksternal (Exfiltration) atau mencoba berkomunikasi?
FileSystem: Apakah ia mencoba mengakses atau memodifikasi file sensitif seperti SSH key, kredensial AWS, /etc/passwd, dan lain-lain?
Execution: Apakah ia menjalankan perintah shell, atau membuat subproses dengan menghasilkan kode secara dinamis (eval, exec)?
Penggunaan nyata dan alat keamanan inti yang diperkirakan digunakan
Saat ini, dalam proyek OpenSSF dan kelompok riset keamanan, alat-alat berikut sedang dikembangkan dan diterapkan ke pipeline untuk melakukan analisis ini.
A. OpenSSF Package Analysis (proyek resmi)
- Ringkasan: Proyek yang dipimpin OpenSSF ini benar-benar memasang dan menjalankan paket yang diunggah ke PyPI atau NPM di lingkungan sandbox terisolasi.
- Cara kerja: Dengan mencegat system call yang terjadi saat paket dijalankan pada level kernel, sistem ini mengumpulkan data perilaku seperti "paket ini mencoba terhubung ke 192.168.x.x selama instalasi".
- Tumpukan teknologi: Memanfaatkan gVisor (sandbox), Strace (pelacakan system call), dan sebagainya.
B. Packj
- Ringkasan: Alat yang dikembangkan berdasarkan riset akademik (Georgia Tech dan lainnya), dan dikhususkan untuk memberi tag pada 'Risky Capabilities' sebuah paket.
- Cara kerja: Menggabungkan analisis statis dan analisis dinamis. Ia menemukan pemanggilan API sensitif dalam source code, lalu menganalisis metadata paket untuk menentukan apakah itu 'paket yang ditinggalkan' atau 'typosquatting (peniruan nama)', dan sebagainya.
- Ciri khas: Mendeteksi kombinasi izin yang tidak normal seperti "paket ini adalah library audio, tetapi memiliki fungsi komunikasi jaringan dan akses buku alamat".
C. GuardDog
- Ringkasan: Alat CLI yang dirilis Datadog, memanfaatkan Semgrep (mesin analisis statis) untuk menemukan pola berbahaya.
- Cara kerja: Mengidentifikasi pola kode (Heuristics) yang mengimplementasikan 'fungsi berbahaya', seperti kode yang diobfuscate, skrip miner, atau downloader file eksekusi yang disembunyikan di dalam paket.
D. Falco & Sysdig
- Ringkasan: Alat keamanan runtime untuk lingkungan cloud-native.
- Peran: Digunakan sebagai engine untuk mendeteksi secara real-time perilaku tidak normal yang terjadi saat paket dijalankan di dalam container (misalnya koneksi shell tak terduga atau pembacaan file sensitif).
Materi referensi dan tautan terkait
Untuk pemahaman yang lebih mendalam tentang teknologi ini, Anda dapat merujuk ke proyek asli dan blog berikut.
Setahu saya, mereka mungkin mengunduh paketnya lalu menjalankan dan mengekstraknya, atau melakukan analisis statis maupun dinamis untuk melihat apa yang dilakukan kode tersebut. Biasanya malware menyebar dengan cara seperti itu.
Saya juga kadang berpikir begitu. Tidak ada habisnya.
"Kadang saya merasa memilih pengembangan perangkat lunak adalah keputusan yang salah
Bahkan setelah menjadi senior, saya tetap dituntut untuk belajar dan mengerjakan proyek sampingan
Saya tidak tahu kapan saya bisa punya hobi atau kehidupan sosial"
Saya rasa sikap percaya buta yang absolut sama salahnya dengan ketidakpercayaan yang keras kepala.
Yang penting adalah menggunakannya dengan mempertimbangkan kelebihan dan kekurangannya secara tepat, tetapi menurut saya menciptakan suasana FOMO tanpa alasan hanyalah strategi dagang perusahaan AI.
Sangat bagus. Tulisan ini wajib dibaca semua orang, dari junior sampai senior.
Sepertinya periode dari tahun lalu sampai tahun depan akan menjadi titik transisi terbesar dalam software engineering.
Kalau sampai ketinggalan arus perubahan zaman di sini, bisa-bisa tertinggal jauh.
Karena tidak tahu penyebabnya, saya sempat sangat khawatir dan akhirnya hanya mengunduh versi lama untuk dipakai, tetapi syukurlah penyebabnya berhasil diketahui :)
> Bahkan di sistem hiburan pesawat pun, fitur game berbasis AI sedang menjadi hal yang umum.
Sebagai orang yang paham cara kerja engine catur, saya merasa ini terlalu dilebih-lebihkan sampai tidak masuk akal, jadi saya sempat bertanya-tanya ada apa....
Ternyata sejak awal, video aslinya memang tidak berisi pujian berlebihan seperti di ringkasan itu.
Sepertinya itu video sindiran karena tingkat kesulitan EASY milik Delta Air Lines bermain begitu baik sampai-sampai orang yang lumayan bisa bermain catur pun sulit menang.
Namun saya penasaran kenapa opini di bagian makna dan implikasi bisa sampai berhalusinasi secara sepihak seperti ini.
> Contoh yang menunjukkan bahwa penyebaran luas teknologi AI ke kalangan umum juga meluas hingga ke ranah layanan penerbangan
Kenapa hal seperti ini bisa terjadi di MS, yang dihuni talenta-talenta terbaik dunia? Jangan-jangan cuma pintar setengah-setengah? Apakah manusia sedang mengalami kemunduran?
> Orang yang membocorkan proyek ini meminta anonimitas dengan alasan bahwa saat ini ia bekerja di sebuah perusahaan teknologi besar di AS yang berada di pusat ledakan AI. Sumber tersebut menjelaskan, “Tujuannya adalah memberi tahu betapa mudahnya kelemahan AI disalahgunakan, dan mendorong orang untuk membuat senjata informasi sendiri.”
>
> Saat ini, kegiatan ini dilaporkan melibatkan setidaknya lima orang, dan sebagian di antaranya diketahui bekerja di perusahaan AI besar lainnya. Mereka menyatakan akan segera merilis tanda tangan kriptografi (PGP) untuk membuktikan bahwa memang ada beberapa orang yang terlibat.
Saya sudah memakai Ubuntu Desktop belasan tahun, tapi malas mengutak-atik kustomisasi jadi hampir selalu memakainya dalam kondisi nyaris bawaan.
Menurut saya, yang paling enak itu pakai Linux sebagai server saja dan bawa MacBook untuk dipakai sehari-hari, haha
Sekarang pun hampir tidak ada model sendiri yang benar-benar bisa dipakai untuk menjalankan layanan.. Setidaknya, melihat model-model yang muncul sambil mengusung nama AI andalan nasional masuk peringkat atas di Hugging Face, rasanya kita akhirnya baru mulai.
Jadi makin dinanti..
Saya coba minta Gemini menjelaskannya. Saya juga bukan orang yang khusus menangani keamanan, jadi kurang paham juga.
[Laporan mendalam: Teknologi keamanan generasi berikutnya 'Capability Analysis' yang diperhatikan PyPI dan OpenSSF]
Seiring serangan rantai pasok yang mengancam ekosistem open source belakangan ini makin canggih, PyPI (Python Package Index) dan OpenSSF (Open Source Security Foundation) mempercepat penerapan 'Capability Analysis (analisis kemampuan/kapabilitas)' yang melampaui pendekatan pencocokan pola tradisional.
Inti teknologi ini adalah menembus bukan "apa yang diklaim sebuah paket", melainkan "apa yang benar-benar bisa dilakukannya".
Jika pemeriksaan virus konvensional bekerja dengan mencocokkan "daftar buronan (signature malware yang sudah dikenal)", maka Capability Analysis memverifikasi "kemampuan perilaku" sebuah paket.
Sekalipun menyamar sebagai utilitas normal, untuk mengambil alih sistem atau mencuri informasi, paket itu pada akhirnya harus menggunakan sumber daya tertentu milik sistem operasi (jaringan, file, proses). Teknik analisis ini melacak apakah paket menjalankan 'hak istimewa sensitif (Capabilities)' berikut saat mengeksekusi kode.
eval,exec)?Saat ini, dalam proyek OpenSSF dan kelompok riset keamanan, alat-alat berikut sedang dikembangkan dan diterapkan ke pipeline untuk melakukan analisis ini.
A. OpenSSF Package Analysis (proyek resmi)
- Ringkasan: Proyek yang dipimpin OpenSSF ini benar-benar memasang dan menjalankan paket yang diunggah ke PyPI atau NPM di lingkungan sandbox terisolasi.
- Cara kerja: Dengan mencegat system call yang terjadi saat paket dijalankan pada level kernel, sistem ini mengumpulkan data perilaku seperti "paket ini mencoba terhubung ke 192.168.x.x selama instalasi".
- Tumpukan teknologi: Memanfaatkan gVisor (sandbox), Strace (pelacakan system call), dan sebagainya.
B. Packj
- Ringkasan: Alat yang dikembangkan berdasarkan riset akademik (Georgia Tech dan lainnya), dan dikhususkan untuk memberi tag pada 'Risky Capabilities' sebuah paket.
- Cara kerja: Menggabungkan analisis statis dan analisis dinamis. Ia menemukan pemanggilan API sensitif dalam source code, lalu menganalisis metadata paket untuk menentukan apakah itu 'paket yang ditinggalkan' atau 'typosquatting (peniruan nama)', dan sebagainya.
- Ciri khas: Mendeteksi kombinasi izin yang tidak normal seperti "paket ini adalah library audio, tetapi memiliki fungsi komunikasi jaringan dan akses buku alamat".
C. GuardDog
- Ringkasan: Alat CLI yang dirilis Datadog, memanfaatkan Semgrep (mesin analisis statis) untuk menemukan pola berbahaya.
- Cara kerja: Mengidentifikasi pola kode (Heuristics) yang mengimplementasikan 'fungsi berbahaya', seperti kode yang diobfuscate, skrip miner, atau downloader file eksekusi yang disembunyikan di dalam paket.
D. Falco & Sysdig
- Ringkasan: Alat keamanan runtime untuk lingkungan cloud-native.
- Peran: Digunakan sebagai engine untuk mendeteksi secara real-time perilaku tidak normal yang terjadi saat paket dijalankan di dalam container (misalnya koneksi shell tak terduga atau pembacaan file sensitif).
Untuk pemahaman yang lebih mendalam tentang teknologi ini, Anda dapat merujuk ke proyek asli dan blog berikut.
Blog resmi OpenSSF Package Analysis (pengumuman dan penjelasan prinsip)
https://openssf.org/blog/2022/…
GitHub OpenSSF Package Analysis (source code dan arsitektur)
https://github.com/ossf/package-analysis
GitHub Packj (unduh alat dan fitur detail)
https://github.com/ossillate-inc/packj
GitHub GuardDog (alat deteksi paket berbahaya PyPI/NPM dari Datadog)
https://github.com/DataDog/guarddog
Laporan keamanan PyPI (prosedur pelaporan dan penanganan paket berbahaya)
https://pypi.org/security/
Setahu saya, mereka mungkin mengunduh paketnya lalu menjalankan dan mengekstraknya, atau melakukan analisis statis maupun dinamis untuk melihat apa yang dilakukan kode tersebut. Biasanya malware menyebar dengan cara seperti itu.
Saya juga kadang berpikir begitu. Tidak ada habisnya.
"Kadang saya merasa memilih pengembangan perangkat lunak adalah keputusan yang salah
Bahkan setelah menjadi senior, saya tetap dituntut untuk belajar dan mengerjakan proyek sampingan
Saya tidak tahu kapan saya bisa punya hobi atau kehidupan sosial"
titik kesamaan skills..
Saya pindah ke starship.
Tailscale memang sering disebut-sebut ya. Memang sebenarnya belum ada alternatif yang benar-benar pas..
Saya rasa sikap percaya buta yang absolut sama salahnya dengan ketidakpercayaan yang keras kepala. Yang penting adalah menggunakannya dengan mempertimbangkan kelebihan dan kekurangannya secara tepat, tetapi menurut saya menciptakan suasana FOMO tanpa alasan hanyalah strategi dagang perusahaan AI.
Jika saat ini Anda belum cukup mengintegrasikan AI ke dalam pekerjaan Anda, mungkin tidak ada salahnya merasakan FOMO.
Sangat bagus. Tulisan ini wajib dibaca semua orang, dari junior sampai senior.
Sepertinya periode dari tahun lalu sampai tahun depan akan menjadi titik transisi terbesar dalam software engineering.
Kalau sampai ketinggalan arus perubahan zaman di sini, bisa-bisa tertinggal jauh.
Karena tidak tahu penyebabnya, saya sempat sangat khawatir dan akhirnya hanya mengunduh versi lama untuk dipakai, tetapi syukurlah penyebabnya berhasil diketahui :)
https://github.com/kaniini/capsudo
> Bahkan di sistem hiburan pesawat pun, fitur game berbasis AI sedang menjadi hal yang umum.
Sebagai orang yang paham cara kerja engine catur, saya merasa ini terlalu dilebih-lebihkan sampai tidak masuk akal, jadi saya sempat bertanya-tanya ada apa....
Ternyata sejak awal, video aslinya memang tidak berisi pujian berlebihan seperti di ringkasan itu.
Sepertinya itu video sindiran karena tingkat kesulitan EASY milik Delta Air Lines bermain begitu baik sampai-sampai orang yang lumayan bisa bermain catur pun sulit menang.
Namun saya penasaran kenapa opini di bagian makna dan implikasi bisa sampai berhalusinasi secara sepihak seperti ini.
> Contoh yang menunjukkan bahwa penyebaran luas teknologi AI ke kalangan umum juga meluas hingga ke ranah layanan penerbangan
Apa yang dimaksud dengan "alat keamanan berbasis analisis kapabilitas (capability analysis)"?
Kenapa hal seperti ini bisa terjadi di MS, yang dihuni talenta-talenta terbaik dunia? Jangan-jangan cuma pintar setengah-setengah? Apakah manusia sedang mengalami kemunduran?
Video pengenalan berdurasi 1 menit - https://www.youtube.com/watch?v=UAmKyyZ-b9E
Muncul gerakan kolektif ‘kontaminasi data’ untuk menghambat perkembangan AI
> Orang yang membocorkan proyek ini meminta anonimitas dengan alasan bahwa saat ini ia bekerja di sebuah perusahaan teknologi besar di AS yang berada di pusat ledakan AI. Sumber tersebut menjelaskan, “Tujuannya adalah memberi tahu betapa mudahnya kelemahan AI disalahgunakan, dan mendorong orang untuk membuat senjata informasi sendiri.”
>
> Saat ini, kegiatan ini dilaporkan melibatkan setidaknya lima orang, dan sebagian di antaranya diketahui bekerja di perusahaan AI besar lainnya. Mereka menyatakan akan segera merilis tanda tangan kriptografi (PGP) untuk membuktikan bahwa memang ada beberapa orang yang terlibat.
Saya sudah memakai Ubuntu Desktop belasan tahun, tapi malas mengutak-atik kustomisasi jadi hampir selalu memakainya dalam kondisi nyaris bawaan.
Menurut saya, yang paling enak itu pakai Linux sebagai server saja dan bawa MacBook untuk dipakai sehari-hari, haha
Saya membeli n100 saat Festival Belanja Guanggun tahun lalu dengan harga sedikit di atas 100.000 won, dan sejauh ini sangat puas memakainya.
Sekarang pun hampir tidak ada model sendiri yang benar-benar bisa dipakai untuk menjalankan layanan.. Setidaknya, melihat model-model yang muncul sambil mengusung nama AI andalan nasional masuk peringkat atas di Hugging Face, rasanya kita akhirnya baru mulai.