Segurança em Softwares de Código Aberto
Software

Como Fortalecer a Segurança em Softwares de Código Aberto

AITechs
Read Time:4 Minute, 54 Second

Incidente Recente e Seus Impactos

No início deste ano, um desenvolvedor da Microsoft descobriu que alguém havia inserido um backdoor no código do utilitário de código aberto XZ Utils, usado em praticamente todos os sistemas operacionais Linux. A operação começou dois anos antes, quando uma pessoa, apelidada de JiaT75, começou a contribuir para o repositório XZ Utils no GitHub. Um especialista em segurança cibernética chamou esse ataque de “cenário de pesadelo” e “o melhor ataque à cadeia de suprimentos executado que já vimos”.

Riscos Associados ao Código Aberto

Este incidente, juntamente com outros bem conhecidos como Heartbleed, Shellshock e Log4j, serve como um lembrete claro de que o software de código aberto, devido à sua ampla disseminação, pode representar riscos significativos à segurança. A natureza aberta do código permite que qualquer pessoa contribua, mas também abre portas para possíveis vulnerabilidades e ataques maliciosos.

Discussão no TechCrunch Disrupt 2024

No TechCrunch Disrupt 2024, Bogomil Balkansky, sócio da Sequoia Capital; Aeva Black, chefe da seção de segurança de código aberto da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA); e Luis Villa, cofundador da Tidelift, discutiram os desafios de proteger software de código aberto. A discussão destacou a complexidade e a importância de manter a segurança em um ecossistema tão vasto e colaborativo.

A Natureza do Código Aberto

“Gosto de dizer que o código aberto não é gratuito como pizza. É gratuito como um cachorrinho. Você o leva para casa e, se não o alimentar, ele vai comer seus móveis, seus sapatos” – Aeva Black

Essa analogia sublinha a necessidade contínua de manutenção e cuidado com o software de código aberto. Não basta apenas utilizá-lo; é crucial garantir que ele seja seguro e atualizado.

Desafios do Modelo de Negócios

Balkansky chamou o software de código aberto de “a força vital do software”, o que o torna “fundamental e incorporado a tudo”. O problema, segundo ele, é que “o modelo de negócios para o código aberto ainda é um trabalho em andamento”. Isso significa que, embora o código aberto seja essencial, ainda há desafios significativos em termos de financiamento e manutenção.

Comparação com Software Proprietário

Para ilustrar a importância do financiamento, podemos comparar o modelo de código aberto com o desenvolvimento de software proprietário. Empresas como Microsoft e Apple investem bilhões de dólares anualmente em segurança e manutenção de seus produtos. Em contraste, muitos projetos de código aberto dependem de voluntários e doações esporádicas, o que pode levar a lacunas significativas na segurança.

Propostas de Soluções

Villa e sua equipe na Tidelift propõem um modelo em que a empresa paga mantenedores de código aberto para cuidar de seu código e parceiros para corrigir vulnerabilidades. Este modelo busca criar um incentivo financeiro para que os desenvolvedores mantenham o código seguro e atualizado, abordando uma das principais fraquezas do ecossistema de código aberto: a falta de recursos dedicados.

Iniciativas da CISA

A CISA, explicou Black, agora está se envolvendo, lançando iniciativas para dizer às empresas quais são as melhores — e piores — práticas de segurança quando se trata de implantar software de código aberto. “Estamos aqui para participar como um membro da comunidade de código aberto e trabalhar com eles”, disse Black, que vê o software de código aberto como um bem público. A participação da CISA é um passo importante para criar diretrizes e padrões que possam ajudar a mitigar riscos.

Necessidade de Transparência e Colaboração

Em termos de como seguir em frente, Balkansky disse que “a solução para a segurança de código aberto, pelo menos até certo ponto, também precisa ser de código aberto”, e alertou que “não existem soluções milagrosas”. Isso sugere que a transparência e a colaboração, que são os pilares do movimento de código aberto, também devem ser aplicadas às soluções de segurança.

Abordagens Múltiplas e Defesa em Profundidade

Villa disse que há uma necessidade de “múltiplas abordagens” e “defesa em profundidade”, o que significa que há uma necessidade de várias camadas de segurança para proteger o ecossistema de código aberto. Isso inclui desde a revisão de código até a implementação de ferramentas automatizadas de detecção de vulnerabilidades.

Comparação com Segurança Física

Para entender melhor a necessidade de múltiplas camadas de segurança, podemos comparar com a segurança física de um prédio. Não basta ter apenas uma porta trancada; é necessário ter câmeras de segurança, guardas, alarmes e outros mecanismos para garantir a proteção completa. Da mesma forma, a segurança de software de código aberto deve ser multifacetada.

Engajamento e Identificação de Componentes

Black acrescentou que os desenvolvedores de software precisam saber qual software de código aberto está em seus produtos. “Precisamos de um melhor engajamento para permitir que todos façam isso com menos esforço e menos carga para os mantenedores voluntários individuais e organizações sem fins lucrativos”, disse Black. Isso implica na criação de ferramentas e processos que facilitem a identificação e a gestão de componentes de código aberto dentro de projetos maiores.

Conclusão

Em conclusão, fortalecer a segurança em softwares de código aberto requer, acima de tudo, um esforço conjunto de toda a comunidade, incluindo desenvolvedores, empresas, organizações sem fins lucrativos e agências governamentais. Além disso, a colaboração constante entre esses diferentes atores deve ser priorizada, uma vez que apenas através de um trabalho coordenado poderemos alcançar resultados significativos. Consequentemente, a transparência nas operações e, principalmente, o financiamento adequado tornam-se elementos fundamentais nesse processo. Por outro lado, é importante ressaltar que, embora existam desafios consideráveis, a comunidade open source tem demonstrado notável resiliência. Portanto, com o apoio apropriado e uma estrutura bem definida, podemos não apenas manter, mas também fortalecer o código aberto como uma força vital no desenvolvimento de software. Finalmente, vale destacar que, através dessas medidas coordenadas, será possível garantir a continuidade da inovação tecnológica sem, no entanto, comprometer a segurança que é tão crucial no cenário digital atual.

–>Compartilhe este artigo nas suas redes sociais!

Fonte: https://techcrunch.com/tag/techcrunch-disrupt-2024/

About Post Author

AITechs

http://techsai.com.br
Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %
0 0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%
(Add your review)

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

O Impacto da Política de Inteligência Artificial Previous post O Impacto da Política de Inteligência Artificial (IA) de Trump e o Futuro da Tecnologia nos Estados Unidos
Whisk: A Nova IA do Google para Criação de Imagens Next post Whisk: A Nova IA do Google para Criação de Imagens