This article in Bahasa, are you looking for English language? Google Translate is your friend, or simply click here.

Latar Belakang

Go atau Golang merupakan bahasa pemrograman yang cukup hype dikalangan software developer. Portable, concurrency, dan microservices adalah kata yang selalu terdengar jika ada pembicaraan tentang bahasa pemrograman ini. Semua bahasa pemrograman open source yang hype, biasanya memiliki banyak dependensi yang dibagikan secara terbuka. Hal ini menjadi menjadi pedang bermata dua ketika absennya package/library manager yang sebenernya sangat diperlukan untuk meningkatkan kemudahan dan tingkat konsistensi package/library. Untungnya saat ini sudah ada go modules yang menjembatani itu semua. Meskipun demikian, belum ada tools mumpuni yang bisa digunakan untuk menyisir celah keamanan pada package/library yang kita gunakan.

Sonatype mungkin melihat hal yang sama dengan nodejs universe bisa saja terjadi pada go. Dimana package yang dibagikan pada nodejs memiliki dependency inception, yaitu package yang bergantung pada package lain. Bayangkan jika package yang bergantung dengan package lain tersebut memiliki celah keamanan, besar kemungkinan akan memiliki celah keamanan yang sama. "Tool to check for vulnerabilities in your Golang dependencies, powered by Sonatype OSS Index" begitulah deskripsi singkat yang tertulis pada halaman nancy.

Aplikasi dan Penggunaan

Penggunaan tools ini cukup mudah dan bisa saya katakan cukup CI friendly. Saya mengatakan demikian karena nancy ini lolos beberapa kriteria yang saya gunakan ketika memilih sebuah tools pendukung DevSecOps. Saya mencoba melakukan pemindaian ke salah satu repositories open source yang cukup sering saya gunakan. Hasilnya nancy selesai melakukan pemindaian kurang dari 10 detik.

Kesimpulan

Supply chain attack biasanya terjadi saat perusahaan yang membangun sebuah aplikasi menggunakan dependensi opensource dan tidak melakukan audit pada library yang digunakan. Nancy adalah alat bantu yang dapat mengurangi resiko pada Supply chain attack.