Gambar: Yuichiro Chino/Moment via Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Intisari ZDNET
- Kernel Linux bergerak menuju metode identifikasi pengembang dan kode mereka yang lebih baik.
- Pendekatan baru ini dapat diadopsi oleh proyek sumber terbuka lainnya.
- Belum diluncurkan, tetapi diharapkan dapat diimplementasikan dalam waktu setahun ke depan.
NAPA, Calif. — Bertahun-tahun, pengembang kernel Linux menggunakan Pretty Good Privacy (PGP) untuk mengidentifikasi diri dan artefak rilis mereka. Integrasi PGP di Git memungkinkan tag yang ditandatangani untuk memverifikasi integritas repositori kode serta commit yang ditandatangani untuk mencegah peretas menyamar sebagai pengembang sah.
Namun, proses untuk bergabung dalam jaringan kepercayaan PGP ini rumit. Para pengelola yang ingin memiliki akun kernel.org harus bertemu tatap muka dengan anggota yang sudah ada, menunjukkan identitas resmi, dan mendapatkan tanda tangan kunci mereka. Greg Kroah-Hartman, pengelola kernel Linux, menggambarkannya sebagai proses yang "sulit dilakukan dan dikelola" karena melibatkan skrip manual, kunci yang kadaluarsa, dan risiko privasi.
Oleh karena itu, para pengelola kini bekerja untuk mengganti jaringan kepercayaan PGP yang rentan ini dengan lapisan identitas terdesentralisasi yang melindungi privasi. Pendekatan baru, yang dapat disebut Linux ID, dibangun di atas standar identitas digital modern seperti Decentralized Identifiers (DIDs) dan kredensial yang dapat diverifikasi.
Sistem ini memungkinkan penerbitan kredensial yang menegaskan status seseorang, seperti keanggotaan di sebuah perusahaan atau pengakuan dari komunitas Linux, tanpa bergantung pada pertemuan fisik. Kredensial ini dapat diterbitkan oleh berbagai pihak, seperti pemerintah, perusahaan, atau Yayasan Linux itu sendiri, membuat sistem menjadi lebih kuat dan fleksibel.
Teknologi ini tidak hanya ditujukan untuk kernel Linux, tetapi juga bagi komunitas sumber terbuka lain yang menghadapi tantangan keaslian identitas. Meski belum sepenuhnya mencegah serangan seperti pada utilitas xz, sistem ini secara signifikan meningkatkan biaya dan kesulitan bagi penyerang.
Linux ID saat ini masih dalam tahap eksplorasi dan prototipe. Rencananya akan dibahas lebih lanjut dalam forum Linux Plumbers dan Kernel Summit tahun ini, dengan harapan dapat diadopsi sepenuhnya dalam waktu satu tahun ke depan.