Aku mulai lelah...

Bahasa IndonesiaالعربيةDeutschEnglishEspañolFrançaisहिन्दी한국어PortuguêsРусский中文
MMaximilian Schwarzmüller
Computing/SoftwareManagementInternet Technology

Transcript

00:00:00Jadi ini hari Rabu pagi dan saya sengaja tidak membuat episode tentang serangan rantai pasokan besar-besaran, serangan rantai pasokan besar baru yang terjadi kemarin dengan lebih dari 600 paket NPM yang terdampak, serangan “shy Hulu” lainnya, karena saya tidak ingin membahas hal itu setiap minggu.
00:00:23Namun beberapa jam yang lalu saya bangun dan membaca bahwa GitHub sedang menyelidiki peretasan sekitar 4000 repositori internal akibat kompromi pada perangkat karyawan melalui ekstensi VS Code yang teracuni.
00:00:43Dan saya benar-benar lelah. Tidak ada minggu yang berlalu tanpa insiden keamanan serius seperti ini. Minggu lalu kita mengalami gelombang serangan rantai pasokan terkait Tanstack, minggu ini kita mengalami yang lain dan sekarang kita mengalami peretasan GitHub itu dan sejauh ini dari apa yang dirilis GitHub itu hanya
00:01:07dalam tanda kutip memengaruhi repositori mereka, eksfiltrasi sekitar 4000 repositori internal, bukan repositori pelanggan, juga bukan repositori pribadi pelanggan, hanya repositori GitHub internal, tapi tetap saja hampir tidak ada minggu yang berlalu tanpa insiden baru seperti ini.
00:01:27Dan maksud saya, kita juga memiliki semua kerentanan keamanan ini yang ditemukan, seperti yang kembali melibatkan GitHub, yang ditemukan beberapa minggu lalu yang memungkinkan eksekusi kode jarak jauh.
00:01:38Itu ditemukan dan ditambal sebelum bisa disalahgunakan, tetapi keamanan siber jelas menjadi masalah besar dan saya tahu saya sudah membicarakan hal ini sebelumnya dan saya berbicara tentang peran AI dan semua itu, yang tentu saja sangat besar karena AI membantu dalam menemukan kerentanan keamanan,
00:02:00itu membantu dalam menulis kode berbahaya, itu membantu dalam menjalankan serangan rantai pasokan dan itu membuat serangan tersebut jauh lebih menarik bagi penyerang karena ada begitu banyak orang baru yang mendorong kode, ada lebih banyak kode yang ditulis daripada sebelumnya, ada agen yang menulis kode dan menginstal paket, saat ini benar-benar seperti “wild west”.
00:02:24Ini benar-benar linimasa yang menyebalkan, saya akan katakan begitu. Saya benar-benar setuju bahwa Anda harus menyesuaikan diri dengan keberadaan AI, bahwa Anda harus belajar cara bekerja dengan alat-alat ini.
00:02:40Dan itulah yang telah saya lakukan selama berbulan-bulan dan itulah sebabnya saya membuat kursus tentang Claude Code atau Codex tetapi baru-baru ini rekan saya Manuel membuat satu tentang pekerjaan Claude Code karena kami ingin berbagi apa yang kami pelajari tentang alat-alat ini, bagaimana kami menggunakannya, bagaimana Anda mungkin dapat menggunakannya agar lebih efektif dan bagaimana melakukan transisi dari penulisan kode tradisional ke pengembang yang ditingkatkan AI.
00:03:03Tetapi pada saat yang sama, mari kita sangat jujur, saya ingin memiliki linimasa yang lebih sederhana dengan lebih sedikit insiden keamanan, dengan lebih sedikit CEO yang memberi tahu saya sepanjang waktu bahwa semua pekerjaan kerah putih akan berakhir dalam sebulan atau lebih, tetapi inilah kita.
00:03:21Inilah kita dengan insiden keamanan lain hari ini dan ini baru Rabu pagi seperti yang saya sebutkan, jadi kita lihat apa lagi yang akan terjadi selama sisa minggu ini.
00:03:30Dan satu-satunya hal yang dapat kita lakukan saat ini selain meninggalkan industri ini tentu saja, yang pastinya dilakukan atau dipertimbangkan oleh beberapa pengembang, satu-satunya hal yang dapat Anda lakukan jika Anda memutuskan untuk tetap berada di industri itu adalah tentu saja beradaptasi dan mempelajari alat-alat AI ini, tentu saja, tetapi dalam hal keamanan, untuk benar-benar menanggapi ini dengan serius.
00:03:50Dan saya tahu saya juga menyebutkan ini sebelumnya di episode-episode lalu, tetapi itulah contoh mengapa saya membuat seluruh video gratis di saluran YouTube saya yang lain yang akan saya tautkan di bawah lagi, di mana saya memandu Anda melalui beberapa langkah dasar yang dapat Anda ambil untuk memiliki lingkungan pengembangan yang lebih aman.
00:04:08Dan itu mencakup hal-hal seperti menggunakan manajer paket seperti pnpm atau juga bun sebagai manajer paket yang lebih aman secara default. Misalnya, versi terbaru pnpm memiliki usia rilis minimum satu hari yang berarti jika Anda menginstal paket melaluinya, itu tidak akan menarik paket yang berusia kurang dari satu hari.
00:04:29Oleh karena itu mengurangi bahaya terkena serangan rantai pasokan karena sebagian besar dari mereka, meskipun tidak semuanya tentu saja Anda tidak mendapatkan jaminan, tetapi sebagian besar dari mereka tertangkap dengan cukup cepat jadi itu hal yang baik dan jelas Anda dapat menyesuaikan semua pengaturan ini.
00:04:44Dan kemudian manajer seperti ini tetapi juga bun misalnya memblokir eksekusi skrip yang mungkin dilampirkan ke paket yang Anda instal.
00:04:55Dan tentu saja ada langkah-langkah lain seperti menjalankan di dalam kontainer pengembangan atau pada mesin virtual, melakukan pengembangan Anda di sana dan tidak menyimpan rahasia dalam teks biasa di mesin Anda.
00:05:05Namun tentu saja orang juga harus bertanya-tanya untuk GitHub bagaimana kompromi perangkat satu karyawan seperti kedengarannya dapat menyebabkan eksfiltrasi data massal seperti ini, jadi jelas perusahaan besar atau perusahaan mana pun dengan lebih dari sekadar beberapa karyawan harus memikirkan kembali atau mempertimbangkan kembali seberapa besar radius ledakan mereka dan seberapa banyak kerusakan yang dapat dilakukan oleh satu karyawan.
00:05:31Dan itu semua terjadi pada saat di mana secara teoretis Anda ingin memberi agen AI akses massal ke semua jenis data untuk membuat mereka efisien, agar agen merayapi sejumlah besar data dan berinteraksi dengan semua jenis sistem, jadi Anda mendapatkan realitas yang bentrok saat ini.
00:05:53Dan sebenarnya Anda hanya dalam bahaya tinggi jika Anda tidak restriktif tentang izin, hak akses, keamanan data, dan semua hal menyenangkan yang tidak dipedulikan siapa pun selama bertahun-tahun, tetapi sekarang ini menjadi serius, AI membuat serangan ini lebih mudah dan lebih berharga.
00:06:12Waktu yang menyenangkan, waktu yang menyenangkan untuk menjadi pengembang, tetapi hei, itu mungkin hanya bisa menjadi lebih baik, kita lihat saja nanti.

Key Takeaway

Industri pengembangan perangkat lunak saat ini menghadapi ancaman keamanan rantai pasokan yang konstan, menuntut pengembang untuk menggunakan alat yang lebih restriktif seperti pnpm atau Bun serta membatasi hak akses data secara ketat di tengah adopsi AI.

Highlights

  • GitHub menyelidiki peretasan 4.000 repositori internal akibat kompromi perangkat karyawan melalui ekstensi VS Code yang terinfeksi.

  • Serangan rantai pasokan melibatkan lebih dari 600 paket NPM yang terdampak dalam satu insiden.

  • Penggunaan manajer paket seperti pnpm dapat mengurangi risiko serangan dengan memblokir paket yang berusia kurang dari satu hari.

  • Bun memblokir eksekusi skrip otomatis yang sering dilampirkan pada paket berbahaya selama proses instalasi.

  • Keamanan siber menjadi semakin kompleks karena AI mempercepat penemuan kerentanan dan pembuatan kode berbahaya.

  • Perusahaan perlu membatasi radius ledakan data dengan meninjau kembali hak akses dan izin yang diberikan kepada satu karyawan atau agen AI.

Timeline

Insiden Keamanan Beruntun

  • Serangan rantai pasokan terjadi secara rutin dengan lebih dari 600 paket NPM terdampak minggu ini.
  • GitHub mengalami eksfiltrasi data pada 4.000 repositori internal karena peretasan perangkat karyawan melalui ekstensi VS Code.
  • AI mempercepat eksekusi serangan siber dengan mempermudah penemuan kerentanan dan penulisan kode berbahaya.

Situasi keamanan siber saat ini berada dalam kondisi tidak stabil dengan insiden serius yang muncul setiap minggu. Serangan terbaru menargetkan infrastruktur internal GitHub melalui perangkat karyawan yang terkompromi. Lonjakan penulisan kode oleh AI dan agen otomatis menciptakan lingkungan yang rentan terhadap serangan rantai pasokan berskala luas.

Adaptasi dengan Alat AI dan Keamanan

  • Pengembang perlu bertransisi ke alur kerja berbasis AI dengan mempelajari alat seperti Claude Code.
  • Pnpm meningkatkan keamanan dengan fitur usia rilis minimum satu hari untuk paket yang diinstal.
  • Bun menyediakan perlindungan tambahan dengan memblokir eksekusi skrip berbahaya secara default saat instalasi paket.

Adaptasi terhadap alat AI menjadi kebutuhan mendesak bagi pengembang untuk tetap relevan. Namun, efisiensi ini harus diimbangi dengan langkah keamanan yang lebih ketat. Penggunaan manajer paket yang lebih aman, seperti pnpm atau Bun, berfungsi sebagai pertahanan dasar terhadap paket-paket berbahaya yang baru saja dirilis.

Restrukturisasi Keamanan Perusahaan

  • Perusahaan harus mengurangi radius kerusakan dengan membatasi hak akses individu.
  • Pemberian akses massal kepada agen AI tanpa batasan ketat menciptakan risiko eksfiltrasi data yang besar.
  • Keamanan data kini menjadi prioritas mutlak yang harus diperhatikan kembali oleh organisasi.

Kompromi pada satu perangkat karyawan seharusnya tidak memungkinkan akses luas ke ribuan repositori internal. Perusahaan perlu merancang ulang sistem hak akses agar lebih restriktif. Tantangan ini semakin berat karena adanya benturan antara keinginan memberi agen AI akses luas untuk efisiensi dan kebutuhan untuk mengamankan data dari akses tidak sah.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video