Cara Menghubungkan LLM API ke Pemindaian Kerentanan Open Source untuk Memangkas Waktu Tinjauan Keamanan

Open source memang praktis, tetapi juga menyimpan risiko. Menurut sebuah survei tahun 2025, tingkat kemunculan bug melonjak hingga 41% dibandingkan tahun sebelumnya sejak AI mulai membantu menulis kode. Bagi personel keamanan yang harus meninjau puluhan ribu baris pustaka eksternal sendirian, ini tidak ubahnya sebuah bencana. Karena tidak mungkin membaca semua kode secara manual, kita harus menjadikan AI sebagai sekutu kita. Berikut adalah rangkuman cara membangun alur kerja keamanan yang bekerja secara cerdas seperti Project Glasswing.

Memasang Mesin Keamanan AI pada GitHub Actions

Otomatisasi tinjauan keamanan dapat menghapus tugas repetitif yang biasanya memakan waktu lebih dari 10 jam setiap minggu. Hal ini juga mencegah kesalahan manusia yang sering terlewat saat memindai secara manual. Bangunlah alur kerja (pipeline) yang memanggil LLM API di lingkungan GitHub Actions untuk melakukan pemindaian waktu nyata setiap kali ada Pull Request. Kuncinya bukan sekadar mengajukan pertanyaan, melainkan strategi untuk memisahkan antara identifikasi dan audit.

• Melindungi API Key: Daftarkan LLM_API_KEY di GitHub Secrets. Anda harus menyimpannya di penyimpanan terenkripsi Libsodium untuk mencegah kebocoran kunci ke pihak luar.
• Pengaturan Direktori Target: Tidak perlu memeriksa semua file. Gunakan path-filter pada konfigurasi YAML untuk memilih dan memindai direktori sensitif saja, seperti src/auth atau lib/core, yang bisa berakibat fatal jika terjadi insiden.
• Validasi Silang: Pada tahap pertama, biarkan LLM menganalisis struktur kode dan membuat catatan. Kemudian pada tahap kedua, lakukan pemindaian ulang setidaknya 3 kali berdasarkan catatan tersebut. Karena AI terkadang memberikan informasi yang salah (halusinasi), proses verifikasi berulang diperlukan untuk mencocokkan hasil.

Setelah pengaturan ini selesai, personel keamanan hanya perlu memeriksa laporan keamanan yang diringkas oleh AI alih-alih membaca puluhan ribu baris kode.

Memilih Ancaman Nyata Menggunakan CVSS dan EPSS

Alat AI sangat mahir dalam menemukan kerentanan, tetapi juga sering menghasilkan false positive. Jika ditemukan 100 masalah namun 15 di antaranya adalah peringatan palsu, tim pengembang pasti akan merasa terganggu. Agar tidak menyia-nyiakan sumber daya pengembangan yang terbatas, diperlukan standar untuk memilah ancaman yang nyata. Tentukan prioritas dengan menggabungkan skor CVSS 4.0 dan indikator EPSS yang menunjukkan apakah serangan tersebut benar-benar sedang terjadi di lapangan.

1. Periksa Skor Dasar: Lihat tingkat keparahan teknis terlebih dahulu melalui CVSS 4.0 Base Score.
2. Penyesuaian Skor Lingkungan: Kurangi atau tambahkan poin tergantung pada apakah kode tersebut terpapar ke internet publik atau hanya berjalan di jaringan internal.
3. Bandingkan Probabilitas Serangan: Periksa basis data EPSS untuk melihat apakah kerentanan tersebut sedang populer di kalangan penyerang saat ini. Jika probabilitas serangan melebihi 50%, Anda harus mengesampingkan pekerjaan lain dan segera melakukan tambalan (patching).

Fokus pada tingkat urgensi 9.0 ke atas saja sudah dapat meningkatkan level keamanan secara signifikan. Dengan mengurangi permintaan perbaikan yang tidak perlu, konflik dengan tim pengembang pun akan berkurang secara alami.

Memvalidasi dan Menyebarkan Kode Patch di Sandbox

Saran perbaikan yang diajukan oleh AI mungkin terlihat sempurna di permukaan, tetapi terkadang justru merusak fungsi yang sudah berjalan normal. Perusahaan seperti Shopify juga menggunakan AI, namun mereka tidak mempercayai kode yang dihasilkan begitu saja. Anda harus memiliki prosedur otomatis untuk memverifikasi apakah kode patch tersebut aman di lingkungan terisolasi seperti Firecracker atau gVisor.

• Membuat Lingkungan Terisolasi: Gunakan sbx CLI untuk menjalankan MicroVM yang memiliki lingkungan runtime yang identik dengan layanan saat ini.
• Simulasi Serangan: Gunakan skrip serangan untuk memastikan apakah kerentanan tersebut benar-benar dapat ditembus, lalu terapkan patch dari AI dan serang kembali untuk memastikan celah tersebut telah tertutup.
• Uji Fungsionalitas: Jalankan unit test yang ada setelah menerapkan patch. Tidak ada gunanya jika keamanan terjaga tetapi fungsi login menjadi rusak.

Adanya pengamanan seperti ini mencegah insiden di mana kode buatan AI yang "hampir benar tetapi sedikit salah" masuk ke server produksi.

Menulis Laporan yang Langsung Diterima oleh Maintainer Open Source

Kita tidak boleh berhenti hanya dengan memperbaiki layanan kita sendiri. Melaporkan cacat pada proyek open source itu sendiri kepada pengembang aslinya (upstream) juga merupakan tugas personel keamanan. Maintainer adalah orang-orang yang sibuk, jadi Anda harus memberikan bukti yang jelas. Gunakan saluran PVR GitHub untuk menyampaikan laporan secara bertanggung jawab.

Cantumkan jenis dan lokasi kerentanan secara jelas pada judul. Melampirkan langkah-langkah reproduksi yang dapat diikuti oleh siapa saja serta tangkapan layar adalah hal dasar. Yang terbaik adalah mengirimkan kode perbaikan yang telah divalidasi di sandbox sebelumnya. Jika Anda membantu memangkas waktu peninjauan mereka, kemungkinan patch tersebut diterima akan meningkat drastis. Satu laporan yang dibuat dengan baik dapat membuktikan kapabilitas teknis perusahaan dan bahkan berujung pada perolehan nomor CVE resmi.