Laporan Kerentanan Bukan Lagi Istimewa

Filippo Valsorda, mantan pemimpin Tim Keamanan Go di Google, menjelaskan perubahan fundamental dalam cara komunitas sumber terbuka harus menangani laporan kerentanan keamanan. Selama bertahun-tahun, dia menginstruksikan anggota tim baru bahwa laporan kerentanan adalah istimewa dan memerlukan perlakuan khusus dibandingkan dengan isu biasa. Alasan tradisionalnya adalah bahwa peneliti keamanan memberikan layanan berharga dengan melaporkan masalah secara rahasia daripada menggunakan pengungkapan penuh, sehingga pengembang memiliki kewajiban untuk merespons dengan cepat, menyelidiki, memberikan pembaruan, dan memberikan kredit kepada peneliti. Namun, Valsorda sekarang berpendapat bahwa premi ini tidak lagi berlaku. Dengan kemajuan model bahasa besar (LLM) yang dapat melakukan analisis keamanan setara dengan peneliti profesional mana pun, wawasan keamanan tidak lagi langka dan berharga. Setiap orang—termasuk pengelola proyek dan penyerang—dapat menjalankan LLM untuk mengidentifikasi potensi kerentanan. Hambatan utama telah bergeser dari menemukan masalah menjadi menilai dan memprioritaskan mana yang benar-benar kritis. Rahasia dan embargo juga tidak relevan lagi karena penyerang dapat menggunakan LLM mereka sendiri untuk menemukan kerentanan tanpa menunggu pengungkapan resmi. Valsorda menyimpulkan bahwa era laporan kerentanan sebagai pertukaran khusus antara peneliti dan pengelola proyek mungkin berakhir, dan fokus industri harus bergeser ke triase cepat, remediasi, dan pencegahan, dengan mengintegrasikan analisis LLM ke dalam proses integrasi berkelanjutan (CI).