Runtime Security vs Supply Chain Security: Mana yang Harus Kamu Kuasai Dulu?
Dunia container security itu luas. Dari image scanning, runtime protection, sampai policy enforcement. Dua area yang sering jadi topik hangat belakangan ini adalah Runtime Security dengan eBPF dan Supply Chain Security dengan SBOM.
Keduanya gratis, open-source, dan sudah dipakai di perusahaan besar. Tapi fokusnya berbeda. Mari kita bedah.
Runtime Security dengan eBPF
Apa itu eBPF?
eBPF (extended Berkeley Packet Filter) adalah teknologi kernel Linux yang memungkinkan kita menjalankan program kecil di kernel. Dengan ini, kita bisa mengintip setiap aktivitas proses, syscall, hingga traffic network dengan overhead sangat kecil.
➡️ Dokumentasi eBPF
Kenapa penting?
- Container bukan hanya rawan di build stage, tapi juga saat sudah berjalan di production.
- Threat actor bisa eksploitasi container untuk:
- Jalankan perintah mencurigakan (contoh:
nc,curl). - Coba akses file sensitif (
/etc/passwd,/etc/shadow). - Melakukan privilege escalation ke host.
- Jalankan perintah mencurigakan (contoh:
Tool favorit di dunia eBPF:
- Falco (CNCF) – deteksi perilaku mencurigakan dengan rules.
- Tracee (Aqua Security) – threat detection langsung di kernel.
- Tetragon (Cilium) – observabilitas + enforcement (bisa block action, bukan hanya alert).
Singkatnya: Runtime security cocok untuk SOC, incident response, dan threat hunting real-time.
Supply Chain Security dengan SBOM
Apa itu SBOM?
SBOM (Software Bill of Materials) adalah “daftar isi” semua komponen yang ada di container image: library, versi, hingga dependencies.
Kenapa penting?
- Serangan modern banyak terjadi lewat supply chain (ingat kasus Log4j atau SolarWinds).
- Tanpa SBOM, kita bisa pakai image dengan library rentan tanpa sadar.
- Dengan SBOM, kita bisa:
- Scan kerentanan dependencies.
- Tracking CVE terbaru → cepat tahu apakah image terdampak.
- Compliance → banyak regulasi (contoh: US Executive Order 14028) mewajibkan SBOM.
Tool populer untuk SBOM:
- Syft – generator SBOM.
- Grype – scanner SBOM untuk CVE.
- Trivy – all-in-one scanner (image, repo, filesystem, SBOM).
Supply chain security cocok untuk DevSecOps pipeline agar lebih preventif sejak awal (shift left).
Perbandingan Singkat
| Aspek | Runtime Security (eBPF) | Supply Chain Security (SBOM) |
|---|---|---|
| Fokus | Container sudah jalan | Container sebelum jalan |
| Masalah utama | Intrusi & anomali real-time | Kerentanan dependency & library |
| Tools | Falco, Tracee, Tetragon | Syft, Grype, Trivy |
| Cocok untuk | SOC, Incident Response | DevSecOps, CI/CD pipeline |
| Value | Mitigasi saat serangan terjadi | Pencegahan sejak awal |
Jadi, Mana yang Harus Kamu Kuasai Dulu?
Kalau kamu lebih dekat dengan pipeline DevOps, maka mulailah dari SBOM & supply chain security. Ini relatif lebih mudah diintegrasikan ke CI/CD, dan hasilnya langsung terasa: image lebih aman sebelum naik ke production.
Tapi kalau kamu tertarik di dunia incident response, forensik, atau threat detection real-time, maka runtime security dengan eBPF adalah area yang menantang sekaligus powerful.
Saran saya:
- Mulai dari SBOM untuk mencegah masalah.
- Lanjut ke runtime security untuk deteksi ancaman yang lolos dari filter awal.
- Akhirnya, integrasikan keduanya untuk perlindungan container yang benar-benar end-to-end.
Kesimpulan: Container security bukan soal pilih A atau B. Justru kekuatan sesungguhnya ada saat supply chain security (SBOM) dan runtime security (eBPF) dipakai bersama.
“Shift left untuk mencegah, shift right untuk mendeteksi.”
Rekomendasi bacaan lanjut:
