“Pemerintahan mengambil posisi strategis,” kata George Barnes, mantan wakil direktur Badan Keamanan Nasional, yang menghabiskan 36 tahun di NSA dan sekarang bertindak sebagai penasihat senior dan investor di Hunted Labs. Barnes mengatakan bahwa peretas di lembaga intelijen Rusia bisa melihat easyjson sebagai peluang potensial untuk penyalahgunaan di masa depan.
“Kode ini benar-benar efisien. Tidak ada kerentanan yang diketahui tentang itu, oleh karena itu tidak ada perusahaan lain yang mengidentifikasi sesuatu yang salah dengan itu,” kata Barnes. “Namun orang-orang yang benar-benar memiliki itu berada di bawah kedok VK, yang erat dengan Kremlin,” katanya. “Jika saya duduk di GRU atau FSB dan saya melihat daftar panjang peluang… ini sempurna. Ini hanya terbaring di sana,” kata Barnes, merujuk pada badan militer asing dan lembaga keamanan dalam negeri Rusia.
Grup VK tidak merespons permintaan komentar WIRED tentang easyjson. Departemen Pertahanan AS tidak merespons permintaan komentar tentang inklusi easyjson dalam pengaturan perangkat lunaknya.
“NSA tidak memiliki komentar untuk membuat perangkat lunak tertentu ini,” kata juru bicara Badan Keamanan Nasional. “Pusat Kolaborasi Keamanan Siber NSA menyambut tips dari sektor swasta—ketika sebuah tips diterima, NSA melakukan triase tips tersebut terhadap wawasan kami sendiri untuk sepenuhnya memahami ancaman dan, jika terkonfirmasi, berbagi mitigasi yang relevan dengan komunitas.” Seorang juru bicara dari Badan Keamanan Siber dan Infrastruktur AS, yang menghadapi pergolakan di bawah administrasi Trump kedua, mengatakan: “Kami akan mengarahkan Anda kembali ke Hunted Labs.”
GitHub, sebuah repositori kode yang dimiliki oleh Microsoft, mengatakan bahwa sementara akan menyelidiki masalah dan mengambil tindakan di mana kebijakannya dilanggar, tidak sadar kode jahat dalam easyjson dan VK sendiri tidak dikenakan sanksi. Perlakuan perusahaan teknologi lain terhadap VK bervariasi. Setelah Inggris memberlakukan sanksi terhadap pemimpin bank Rusia yang memiliki saham di VK pada September 2022, misalnya, Apple menghapus aplikasi media sosialnya dari App Store.
Dan Lorenc, CEO perusahaan keamanan rantai pasokan Chainguard, mengatakan bahwa dengan easyjson, hubungan dengan Rusia terlihat dengan “jelas” dan bahwa ada risiko keamanan siber “sedikit lebih tinggi” dari perpustakaan perangkat lunak lainnya. Dia menambahkan bahwa bendera merah di sekitar teknologi sumber terbuka lainnya mungkin tidak begitu jelas.
“Dalam ruang sumber terbuka secara keseluruhan, Anda tidak selalu tahu di mana orang berada sebagian besar waktu,” kata Lorenc, menunjukkan bahwa banyak pengembang tidak mengungkapkan identitas atau lokasi mereka secara online, dan bahkan jika mereka melakukannya, tidak selalu mungkin untuk memverifikasi detail tersebut benar. “Kode adalah hal yang harus kita percayai dan kode serta sistem yang digunakan untuk membangun kode tersebut. Orang-orang penting, tetapi kita tidak berada dalam dunia di mana kita dapat mendorong kepercayaan kepada individu,” kata Lorenc.
Saat invasi penuh Rusia ke Ukraina terjadi, ada peningkatan pengawasan terhadap penggunaan sistem sumber terbuka dan dampak sanksi terhadap entitas yang terlibat dalam pengembangan. Pada Oktober tahun lalu, seorang pemelihara kernel Linux menghapus 11 pengembang Rusia yang terlibat dalam proyek sumber terbuka, secara umum mengutip sanksi sebagai alasan perubahan tersebut. Kemudian pada Januari tahun ini, Yayasan Linux mengeluarkan panduan yang mencakup bagaimana sanksi internasional dapat memengaruhi sumber terbuka, mengatakan bahwa pengembang harus berhati-hati dengan siapa mereka berinteraksi dan sifat interaksi tersebut.”