Open Source merupakan sebuah sistem pengembangan peraangkat lunak yang tidak dikoordinasikan oleh sebuah instansi/perusahaan. Namun dikembangkan oleh sekelompok orang yang memanfaatkan source code bersama-sama dan secara bebas. Munculnya open source membuat pengguna mendapatkan sebuah perangkat lunak dengan gratis. namun disisi lain penggunaan open source tersebut perlu dipertimbankan karena tidak adanya garansi dari pengembang dalam memanfaatkan aplikasi tersebut.
Lalu dari pemanfaatan aplikasi open source tersebut, mengapa manajemen risiko diperlukan pada open source?
Menurut pendapat saya, produk yang bersifat open source tentu melibatkan banyak orang atau kelompok dalam hal pengembangannya. Hal ini yang membuat open source tidak terlepas dari suatu risiko. Dalam pandangan saya risiko yang sangat berpengaruh yaitu risiko terhadap kualitas dari produk itu sendiri dan produk lain yang menggunakan komponen dari open source. Berikut ini merupakan data dari hasil survey yang dilakukan oleh Sonatype di tahun 2011 pada 1200 perusahaan tentang pertimbangan mereka ataupun metode yang mereka gunakan dalam memilih sebuah komponen atau artefak open source tertentu yang mereka akan gunakan dalam perusahaannya.
Dari diagram tersebut kita dapat melihat bahwa hampir semua responden menjawab bahwa tidak ada pertimbangan dalam memilih komponen untuk mengembangkan produk mereka. Hal ini dapat menjadi risiko terhadap kualitas produk mereka karena tidak ada standar komponen yang digunakan dan disaat komponen yang dipilih merupakan komponen yang berkualitas buruk maka kualitas produk tersebut akan menurun.
Selain itu, produk yang bersifat open source akan selalu mengalami perubahan dan pengembangan. Disamping memiliki dampak positif maka hal tersebut akan memiliki dampak negatif juga yaitu berupa risiko pada pengendalian versi dari komponen maupun aplikasi yang menggunakan open source tersebut. Jika sebuah produk semakin kompleks maka tingkat kesulitan untuk mengelola komponen-komponennya pun semakin meningkat, sehingga dapat terjadi integritas yang lemah pada sebuah aplikasi di suatu perusahaan karena memiliki versi yang berbeda-beda. Oleh karena itu, perlu dilakukannya manajemen risiko terhadap produk yang bersifat open source.
Menurut pendapat saya, analisis manajemen resiko perlu dilakukan pada open source dikarenakan banyak perusahaan sekarang yang memilih metode ini karena banyak manfaat yang dapat diperoleh dengan menggunakan metode open source ini. Menurut sebuah survei yang telah dilakukan oleh www.accenture.com menyatakan bahwa:
“80% perusahaan besar mengatakan bahwa mereka telah menggunakan teknologi open source dan memprediksi penggunaan teknologi ini akan semakin meluas dimasa yang akan datang”
Kalau kita meninjau kembali manfaat dari open source sendiri sangatlah banyak seperti biayanya relatif rendah, kualitas produk juga bagus, memungkinkan inovasi yang terus berkembang dan yang paling penting mempercepat proses pengembangan perangkat lunak. Akan tetapi meskipun menjanjikan banyak manfaat, bukan berarti open source tidak memiliki kelemahan. Salah satunya adalah keamanan komponen-komponen pada open source, sesuai data survei yang telah dilakukan oleh www.Sonatype.com yang menyebutkan bahwa:
“Sejumlah 87 persen dari responden survey yang melibatkan 1600 software developer, team leader dan system architect mengatakan bahwa mereka menggunakan komponen-komponen open source dalam pengembangan aplikasinya tanpa menerapkan tata kelola yang memadai”
Lalu apa sebenarnya dampak dari open source yang tidak dikelola? open source yang tidak dikelola menurut saya dapat menimbulkan kerawanan pada keamanan informasi yang dimiliki oleh organisasi. Kenapa? coba kita analisis lebih mendalam. Pernahkah terfikir apakah komponen-komponen yang digunakan pada open source sepenuhnya aman? banyak kopmonen-komponen yang menurut saya rawan keamanan. Meskipun ada peringatan security yang telah dipublikasikan, tetap saja kurang diperhatikan karena tidak adanya standar tata kelola yang diterapkan pada organisasi. Contoh nyatanya bahwa pada Januari 2010, US-CERT dan NIST yang merupakan 2 lembaga yang mengurus masalah security dan standar teknologi di Amerika menyampaikan peringatan melalui National Vulnerability Database bahwa Jetty, sebuah open source servlet container memiliki cacat pada security yang kritikal yang memungkinkan masuknya serangan terhadap informasi rahasia organisasi.
Untuk itu menurut pendapat saya diperlukan manajemen tata kelola resiko pada open source dalam pengembangan sistem pada khususnya. Jika tidak, mungkin open source akan menjadi bom waktu yang dapat meledak sewaktu waktu dan dapat menyebabkan kerusakan yang mengerikan, khususnya bagi kita yang tidak dapat memanajemen resiko dari penggunaan teknologi open source.
Open Source merupakan sebuah paradigma dimana kita bisa memanfaatkan sebuah perangkat lunak dengan bebas. Maksudnya disini kita bisa memanfaatkanya tanpa harus membayar royalti ke pemilik perangkat lunak tersebut. Namun disisi lain kita harus berhati-hati karena perangkat lunak bersifat bebas dalam artian disini bisa dimodifikasi oleh orang lain. Dalam hal ini kita harus berhati-hati karena pemanfaatan open source tersebut bisa menjadi boomerang bagi kita sendiri. Berikut beberapa masalah yang mungkin kita hadapi ketika menggunakan open source :
Dukungan yang terbatas
Dalam hal ini penggunaan open source memiki keterbatasan dibandingkan dengan menggunakan aplikasi berbayar dimana aplikasi berbayar biasanya akan didukung penuh oleh developer dalam hal layanannya. Menurut Tony Wasserman dari situs www.cio.com ia mengatakan :
“ Beberapa pelangan akan lebih memilih untuk mempunyai seseorang diluar dalam hal dukungan 24/7 dari produk yang dia gunakan. Dalam hal ini dia bersedia membayar layanan tersebut dengan kondisi dukungan penuh dari produk tersebut “
Tidak ada jaminan atau garansi
Penggunaan open source biasanya dimiliki oleh sebuah organisasi komersial. Ini berarti para pengembang open source akan melepas perangkat lunaknya dengan kondisi tanpa jaminan apakah aplikasi tersebut aman atau berbahaya digunakan oleh pengguna. Dalam hal ini pengembang open source tidak akan memberikan garansi kepada pengguan aplikasinya bahwa yang mereka gunakan itu aman
Kualitas aplikasi yang sering kurang baik
Sebagian besar aplikasi open source memiliki kualitas yang buruk sehingga kurang memberikan manfaat kepada penggunanya. Dalam hal ini pengembangkan aplikasi open source biasanya terbatas karena gratis sehingga para developer akan cenderung membuat aplikasi tersebut dengan kualitas kurang baik. Sehingga penggunaanya kurang maksimal bagi pengguna.
Dari uraian diatas dapat disimpulkan bahwa risiko penggunaan perangkat lunak open source perlu di atur karena pemanfaatanya yang bebas berarti tidak ada jaminan apakah perangkat lunak tersebut akan berguna bagi penggunanya. Dalam hal ini kita harus berhati-hati dalam menggunakanya sehingga hal yang tidak diinginkan tidak terjadi.
Open Source merupakan sesuatu yang dapat modifikasi dan dibagikan bersama karena didesain untuk dapat diakses oleh semua orang. Saat ini perusahaan open source sudah banyak sekali, salah satu open source software terpercaya dan dikenal oleh banyak orang adalah Linux.
Sebagian orang mungkin berpikir, jika menggunakan open source software dengan desain yang terbuka untuk dimodifikasi oleh semua orang sehingga selalu mendapat perbaikan terus menerus, tidak membutuhkan manajemen risiko. Padahal, dengan diberinya akses yang terbuka untuk umum, maka risiko terjadinya hal-hal yang tidak terduga tidak memiliki ukuran yang pasti, mengingat jumlah orang yang dapat mengubah software tersebut tidak dapat diperkirakan dan kemungkinan mengubah bisa lebih baik ataupun lebih buruk, probabilitas yang ada sebesar 50 : 50, oleh karena itu diperlukan manajemen risiko. Terdapat beberapa alasan mengapa dibutuhkan manajemen risiko untuk open source
Dilihat dari segi hukum, bisnis menginginkan asuransi software yang tidak dikenai biaya yang berasal dari munculnya risiko saat menggunakan open source yang belum memiliki lisensi jelas.
Saat ini beberapa perusahaan bisnis selalu berhati-hati dalam menggunakan software yang akan diterapkan pada perusahaan mereka. Penerapan software dalam jangka panjang merupakan sebuah investasi yang tidak murah, sehingga jika ingin menggunakan software open source maka risiko akan kejadian yang tidak terduga perlu dihitung dengan cermat agar tidak menimbulkan kerugian.
Dilihat dari segi keamanan, pelanggan ingin mengetahui bahwa software yang mereka gunakan sudah pasti aman.
Masalah keamanan adalah masalah yang berhubungan dengan retensi pengguna. Jika produk kita aman, maka pengguna tidak akan berpikir 2 kali untuk menggunakan produk kita
“Lebih dari 30.000 kerentanan open source telah dilaporkan sejak tahun 2000” - Blackduck
Dari pernyataan tersebut, dapat saya simpulkan bahwa jika perusahaan ingin menggunakan open source maka perlu dilakukan manajemen risiko terlebih dahulu, dilihat dan dihitung kemungkinan masalah yang akan muncul dan kerugian yang ditimbulkan, karena tidak adanya jaminan bahwa open source selalu aman.
Sumber:
Open Source Software Maturity Model.pdf (Blackduck Software)
Risk Management of Free and Open Source Software.pdf (Federal Financial Institutions Examination Council)
Menurut saya, alasan utama mengapa penggunaan open source memerlukan manajemen risiko adalah kerentanan dalam hal keamanannya. Dengan dibangun oleh komunitas dengan source code yang dipublikasikan secara umum, hal ini juga menunjukkan bahwa kode yang dimilikinya dapat diakses oleh siapapun, termasuk hacker. Sehingga sangat dipertanyakan bagaimana kita dapat menjamin keamanan kodenya.
Akan tetapi, Donal Casey, konsultan IT dan integrator dari Morse, mengatakan bahwa
“Open source tidak kalah aman dengan kode yang dibuat sendiri. Bahkan mungkin lebih sedikit memiliki kesalahan didalamnya.”
Hal ini karena open source memiliki komunitas yang cukup untuk saling memperbaiki permasalahan yang muncul didalamnya.
Sedangkan menurut pendapat Andrew Fourie, manager pada firma threat management, mengatakan bahwa banyak kritikus yang mempertanyakan stabilitas dari opensource karena ia selalu berubah mengikuti fitur dan kode yang ada didalamnya. Open source juga membutuhkan banyak patch agar tetap aman. Akan tetapi hal ini dapat diatasi dengan banyaknya individu yang berkerja untuk selalu memperbaiki kode nya, cacat pada kode juga dapat lebih cepat ditemukan daripada program yang dibuat sendiri.
Penggunaan open source pada perusahaan yang selalu meningkat juga dapat digunakan sebagai bukti keuntungan yang dapat digali dalam penggunaan open source. Statistik menyatakan pada tahun 1998 penggunaan open source hanya 5-10% tetapi meningkat hingga 60-80% ditahun 2016.
Tetapi pada kenyataannya menurut BlackDuck terdapat 67% perusahaan yang programnya menggunakan open source ternyata terdapat permasalahan dalam hal keamanannya.
Hal ini terjadi karena prioritas investasi keamanan pada aplikasi yang menggunakan open source juga tidak berbanding lurus dengan risiko yang dihadapi.
Oleh karena itulah penting adanya manajemen risiko untuk mengantisipasi risiko yang mungkin muncul dalam penggunaan open source. Untuk mendapatkan untung sebesar-besarnya dan menimalisir kerugian yang dapat ditimbulkan
