Havedev Logo
← Back to Blog

Havedev

Ketika Dependency Kecil Bisa Menjadi Risiko Bisnis: Pelajaran dari Axios dan Paket npm SAP

Tim bisnis dan teknis meninjau diagram sistem, akses, dan workflow rilis aplikasi di meja kerja

Banyak bisnis melihat software dari bagian yang terlihat: website bisa dibuka, dashboard jalan, form masuk, aplikasi internal masih dipakai tim, dan vendor masih bisa deploy update. Selama semuanya terlihat normal, risiko teknis sering terasa jauh.

Namun insiden supply chain beberapa minggu terakhir menunjukkan pola yang lebih penting: bagian kecil di balik proses development bisa memengaruhi keputusan bisnis yang besar.

Pada 10 April 2026, OpenAI menjelaskan respons mereka terhadap kompromi Axios, sebuah library JavaScript pihak ketiga yang dipakai luas. Menurut pernyataan resmi OpenAI, pada 31 Maret 2026 salah satu workflow GitHub Actions untuk proses penandatanganan aplikasi macOS mengunduh dan menjalankan Axios versi 1.14.1 yang telah dikompromikan. OpenAI menyatakan tidak menemukan bukti data pengguna, sistem internal, atau intellectual property mereka diakses, tetapi tetap memperlakukan certificate terkait sebagai berisiko dan melakukan rotasi serta revocation.

Beberapa minggu setelah itu, The Hacker News melaporkan kompromi paket npm terkait ekosistem SAP. Laporan tersebut menjelaskan bahwa paket tertentu di ekosistem JavaScript dan cloud application development SAP sempat disusupi malware pencuri kredensial, token GitHub/npm, secret GitHub Actions, dan secret cloud.

Detail teknisnya kompleks. Tetapi pelajaran bisnisnya sederhana: dependency kecil bisa masuk ke tempat yang sangat sensitif.

Dependency Bukan Sekadar Urusan Developer

Bagi owner bisnis, kata seperti npm, Axios, GitHub Actions, OIDC, atau CI/CD mungkin terdengar seperti urusan developer sepenuhnya. Dalam praktiknya, komponen itu sering menjadi bagian dari mesin operasional bisnis.

Website modern bisa bergantung pada puluhan sampai ratusan package. Aplikasi internal bisa memakai library open-source untuk autentikasi, email, pembayaran, reporting, PDF, dashboard, atau integrasi API. Proses deploy bisa berjalan otomatis lewat GitHub Actions atau pipeline lain. Token dan secret bisa dipakai untuk menghubungkan repository, cloud, database, CDN, email, dan analytics.

Saat semuanya berjalan benar, bisnis merasakan manfaatnya: development lebih cepat, update lebih mudah, biaya lebih efisien. Tetapi saat satu komponen dipercaya terlalu longgar, risiko teknis bisa berubah menjadi risiko operasional.

Bukan karena open-source buruk. Justru banyak software modern tidak mungkin berjalan efisien tanpa open-source. Masalahnya adalah ketika bisnis tidak tahu komponen apa yang dipakai, siapa yang memegang akses, bagaimana update dilakukan, dan apa yang terjadi jika dependency tersebut bermasalah.

Risiko Terbesar Sering Berada di Workflow, Bukan Homepage

Ketika bisnis meminta audit website, fokus pertama biasanya tampilan, kecepatan, SEO, atau konversi. Itu penting, tetapi tidak cukup untuk sistem yang sudah menjadi aset operasional.

Risiko supply chain sering berada di belakang layar:

  • package yang otomatis dijalankan saat install;
  • dependency yang berubah tanpa review cukup;
  • token deploy yang punya akses terlalu luas;
  • workflow CI/CD yang memakai permission berlebihan;
  • secret production yang tersimpan di environment tanpa rotasi;
  • akun vendor lama yang masih bisa mengakses repository, hosting, atau dashboard;
  • proses release yang hanya dipahami satu orang.

Insiden OpenAI dan Axios menarik karena dampaknya bukan sekadar “library bermasalah”. Komponen yang dikompromikan masuk ke workflow app-signing, yaitu proses yang berhubungan dengan kepercayaan sistem operasi terhadap aplikasi. Responsnya bukan hanya patch kecil, tetapi rotasi certificate dan update aplikasi.

Artinya, satu dependency bisa menyentuh rantai kepercayaan yang lebih besar daripada yang terlihat dari luar.

Untuk Bisnis Indonesia, Pertanyaannya Bukan “Apakah Kami Pakai Axios?”

Sebagian bisnis mungkin merasa isu ini jauh: “Kami tidak pakai Axios.” “Kami tidak pakai SAP.” “Kami bukan perusahaan software.” Pertanyaan yang lebih berguna bukan itu.

Pertanyaan yang lebih tepat:

  • Apakah website atau aplikasi bisnis Anda memakai dependency pihak ketiga?
  • Apakah vendor bisa menjelaskan package utama dan proses update-nya?
  • Apakah akses repository, hosting, domain, cloud, dan analytics sudah punya pemilik yang jelas?
  • Apakah token dan secret pernah dirotasi setelah pergantian vendor atau developer?
  • Apakah proses deploy punya review, atau siapa pun yang punya akses bisa langsung mengubah production?
  • Jika satu package, plugin, atau workflow bermasalah, siapa yang tahu langkah pemulihannya?

Untuk bisnis yang mengandalkan digital channel, jawaban kabur di area ini adalah risiko. Bukan berarti sistem pasti sedang diserang, tetapi berarti kontrolnya belum cukup terlihat.

Audit Teknis Harus Menghasilkan Peta Keputusan

Audit teknis yang berguna tidak harus langsung menjadi proyek besar. Untuk banyak bisnis, langkah pertama cukup berupa peta keputusan yang jelas.

Minimal, audit harus menjawab:

  1. Komponen apa saja yang paling penting untuk sistem berjalan?
  2. Siapa yang punya akses ke kode, hosting, domain, database, dan workflow deploy?
  3. Dependency mana yang kritikal, usang, tidak dipakai, atau terlalu berisiko?
  4. Secret dan token mana yang perlu dicabut, dipersempit, atau dirotasi?
  5. Workflow mana yang bisa menyentuh production?
  6. Apa yang harus dilakukan jika update dependency ternyata bermasalah?

NIST Secure Software Development Framework menekankan bahwa praktik keamanan perlu masuk ke proses development, bukan ditempel setelah produk jadi. OWASP Software Component Verification Standard juga menempatkan visibility dan assurance terhadap komponen software sebagai bagian dari pengurangan risiko supply chain.

Untuk owner bisnis, bahasa praktisnya begini: jangan hanya bertanya “aplikasinya bisa jalan atau tidak?” Tanyakan juga “apakah cara membuat, mengubah, dan merilis aplikasi ini bisa dipercaya?”

Kapan Bisnis Perlu Mulai Peduli?

Tidak semua bisnis perlu proses security engineering yang rumit. Tetapi ada beberapa momen ketika audit dependency dan workflow rilis menjadi sangat masuk akal.

Pertama, sebelum campaign besar. Jika website akan menerima traffic dan lead lebih banyak, jangan hanya cek halaman landing page. Cek juga form, integrasi CRM, tracking script, hosting, dan akses vendor.

Kedua, sebelum aplikasi internal dipakai lintas tim. Semakin banyak proses bisnis masuk ke aplikasi, semakin mahal dampaknya jika update gagal, data bocor, atau akses tidak terkendali.

Ketiga, setelah berganti vendor atau developer. Pergantian tim harus diikuti review akses dan token. Ini bukan soal curiga, tetapi soal kepemilikan aset digital.

Keempat, sebelum menambah payment, membership, booking, atau integrasi cloud. Semakin dekat sistem ke transaksi dan data pelanggan, semakin penting kontrol dependency, secret, dan release.

Kelima, ketika bisnis mulai memakai AI coding tools atau agentic workflow. Tool baru bisa mempercepat pekerjaan, tetapi tetap perlu batas akses, review, dan dokumentasi proses.

Yang Perlu Diminta dari Vendor atau Tim Teknis

Bisnis tidak harus memahami semua detail package manager. Tetapi bisnis berhak meminta proses yang bisa dijelaskan.

Beberapa permintaan yang sehat:

  • daftar akses utama: domain, hosting, repository, cloud, email, analytics, CRM;
  • ringkasan dependency kritikal dan cara update-nya;
  • bukti bahwa environment variable dan secret tidak disimpan sembarangan;
  • alur deploy dari perubahan kode sampai production;
  • aturan siapa yang boleh approve perubahan penting;
  • rencana rollback jika update merusak sistem;
  • catatan kapan token terakhir dirotasi.

Jika vendor atau tim teknis tidak bisa menjawab sama sekali, masalahnya bukan hanya teknis. Itu sinyal bahwa bisnis belum punya kontrol cukup atas aset digitalnya.

Kesimpulan: Kepercayaan Digital Dibangun dari Bagian yang Tidak Terlihat

Insiden Axios dan paket npm SAP adalah pengingat bahwa risiko digital tidak selalu datang dari halaman login yang diserang langsung. Kadang pintunya adalah dependency kecil, workflow rilis, token, atau konfigurasi yang terlalu dipercaya.

Bagi bisnis, respons terbaik bukan panik dan menolak semua dependency. Respons yang lebih sehat adalah membangun visibility: tahu komponen apa yang dipakai, siapa yang punya akses, bagaimana update dilakukan, dan apa yang akan dilakukan jika sesuatu bermasalah.

Website, aplikasi internal, dan sistem operasional bukan hanya tampilan. Di belakangnya ada rantai keputusan teknis yang memengaruhi reputasi, data, lead, transaksi, dan continuity bisnis.

Jika sistem digital Anda mulai menjadi bagian penting dari operasi, jangan tunggu insiden untuk melihat bagian belakangnya. Mulai dari audit akses, dependency, token, dan workflow rilis.

Dapatkan Audit Teknis Gratis untuk audit teknis awal atas akses, dependency, dan workflow rilis. Fokusnya memetakan titik rapuh operasional sebelum sistem dipakai lebih berat, bukan assessment keamanan penuh.

Continue Reading

All Articles Category: Tech