Konferensi Komunitas Open Source

Jika kita berada dalam lingkaran yang tepat, suasana akan lebih menyenangkan. Berada di sekitar orang-orang dengan minat, passion, dan hobi yang sama. Bahkan berada dalam lingkaran yang tepat ini merupakan salah satu cara untuk menembus 10000 jam dalam menjadi profesional.

Belum lama ini baru saja selesai diadakan konferensi KDE, Debian (masih?) dan juga Wikipedia. Masing-masing punya namanya sendiri: KDE Akademy, Debian debconf, Wikipedia Wikimania. Sesekali rasanya ingin juga hadir di acara tahunan mereka ini dan merasakan serunya atmosfer kolaborasi.

Salah satu kesulitan yang saya sendiri alami dan dari pernyataan rekan, kesulitan kontribusi ke Open Source adalah kurangnya waktu luang. Ini masalah klasik sih, di seluruh belahan dunia juga mengalaminya.

Hmm… tapi saya perhatikan memang komunitas Open Source di Asia-Pasifik tak seaktif komunitas Open Source di Amerika dan Eropa. Berikut analisis sederhana saya.

Eropa adalah negara sosialis. Ya jadi barangkali negara sudah mampu menyediakan fasilitas hidup minimum yang cukup layak hingga orang-orang yang mendedikasikan waktu dan hidupnya untuk open source masih bisa hidup.

Kalau di Amerika (Serikat) bisa jadi sedikit berbeda. Open source di Amerika Serikat saya lihat bukan sekadar kontribusi tapi eksistensi dan adopsi. Eksistensi artinya untuk menunjukkan kemampuan. Adopsi artinya hasil yang lebih penting dari open source adalah adopsi oleh orang banyak bukan lagi berarti bertujuan pendek mencari untung dari hasil menjual open source ini saja.

Di tataran nasional, saya sempat menghadiri Konferensi Blankon, blankonf2012 tapi itupun hanya 1/2 hari. Padahal kalau menginap rasanya bisa lebih seru!

Sebagai penutup tulisan, karena saya tak bisa hadir langsung, saya mau siap-siap menunggu dokumentasi acara KDE Akademy, debconf13, dan Wikimania!

Secure Coding

Wah sudah lama juga tidak menulis di blog ini. Konsep blog ini lebih serius dan lebih berisi dengan blog satunya. Yah, tapi karena alasan klasik, membuat tulisan yang lebih serius dan berisi rasanya lebih sulit dan perlu meluangkan waktu khusus, daripada tidak ada tulisan apa-apa, kali ini saya akan coba tulis mengenai secure coding.

Secure coding masih merupakan sesuatu yang baru di Indonesia. Sesuatu yang cepat dan sensasional lebih disukai daripada sesuatu yang dilakukan konsisten dan hasilnya baru akan terlihat perlahan-lahan. Oleh karena itu defacer lebih terkenal daripada mereka yang mencari vulnerability dan menulis exploit.

Saya senang saat setahun yang lalu turut diundang menjadi salah satu pembicara dalam seminar yang digagas ACAD-CSIRT. Tajuk seminar ini begitu bagus, Stop the buffer overflow. Stop the vulnerability. Start writing the secure code.

Saya sendiri, mempresentasikan soal proyek Secure Coding di OWASP. Saya sempat merekam beberapa video pendek dalam acara ini.

Saat ini saya sedang ada pekerjaan melakukan code review dalam aspek aplikasi. Jujur, saya masih harus belajar banyak. Selama perjalanan, saya coba sempatkan baca teori mengenai static analysis tools. Paper RIPS ini, biarpun sudah agak lama, masih cukup relevan.

Beberapa hal yang saya ingat antara lain. PVF: Potentially Vulnerable Function, merupakan fungsi-fungsi yang dikelompokkan sebagai fungsi yang memiliki celah keamanan. Jadi saat static analysis tool mendeteksi penggunaan fungsi ini, ia akan melakukan analisis lebih lanjut.

Nah analisis lebih lanjut ini menjadi menarik lagi. Nanti akan dilakukan analisis mundur ke belakang. Apakah penggunaan PVF ini sudah ditangani dengan fungsi sanitasi atau belum. Jika belum, maka akan diidentifikasi sebagai sink. Lalu diperiksa lagi, apakah PVF ini akan menerima input dari pengguna atau tidak. Jika ya, maka input pengguna ini disebut sebagai source.

Dan seterusnya. Masih harus banyak baca dan latihan lagi…