O Google diz que quer aumentar a colaboração do governo para ajudar a proteger o código aberto depois de participar de uma cúpula na Casa Branca.
Na quinta-feira, o Google participou da Cúpula de Segurança de Software de Código Aberto da Casa Branca com o objetivo de desenvolver seu “trabalho com o governo para fortalecer a segurança cibernética coletiva da América por meio de áreas críticas como software de código aberto”.
O ano passado foi particularmente ruim para problemas de segurança open source , com vários deles chegando às manchetes nacionais. Este ano não começou muito melhor.
O código aberto está quebrado
Embora tenha sido tecnicamente descoberto em dezembro, as consequências da vulnerabilidade Log4j continuaram no novo ano. Uma vulnerabilidade com a biblioteca de log open source – comumente usada por aplicativos e serviços na Internet – permite que invasores invadam sistemas, roubem senhas e logins, extraiam dados e infectem redes com software malicioso.
Kent Walker, Presidente de Assuntos Globais e Diretor Jurídico do Google & Alphabet, escreveu em uma postagem no blog:
“Indústrias e governos têm feito progressos para lidar com os frequentes problemas de segurança que afligem o software proprietário e legado.
A recente vulnerabilidade de software de open source log4j mostra que precisamos da mesma atenção e compromisso para proteger ferramentas de open source, que são igualmente críticas.”
A vulnerabilidade do Log4j parece ter sido totalmente acidental e já foi corrigida , embora muitos aplicativos e serviços ainda não a tenham implementado. No entanto, alguns problemas no open source são introduzidos de propósito.
No início desta semana, foi relatado sobre um desenvolvedor de código aberto que corrompeu duas de suas bibliotecas populares para imprimir indefinidamente mensagens sem sentido nos consoles de usuários de aplicativos que faziam uso das bibliotecas – tornando-as inúteis. Então, é claro, houve todo aquele fiasco da SolarWinds no ano passado.
O código aberto é a chave para o desenvolvimento de software moderno. Os benefícios são inúmeros: ajudar a acelerar os lançamentos, evitar o aprisionamento de fornecedores, reduzir custos, aumentar a transparência e muitos projetos têm um grande espírito de comunidade (muitos também não, mas vamos nos ater aos aspectos positivos!)
🚨DICA: Se você não pode fazer um investimento agora na sua carreira, comece por esse Curso Gratuito Gratuito de HTML, CSS e JavaScript! 🚀
De acordo com o relatório Open Source Security and Risk Analysis (OSSRA) de 2021 da Synopsys , 98% das bases de código auditadas continham pelo menos um componente de código aberto e 75% de todas as bases de código eram compostas de código aberto.
No entanto, 84% das bases de código apresentaram pelo menos uma vulnerabilidade; com uma média de 158 por base de código. A vulnerabilidade média encontrada foi de 2,2 anos.
“Por estar disponível gratuitamente, o código aberto facilita a inovação colaborativa e o desenvolvimento de novas tecnologias para ajudar a resolver problemas compartilhados. É por isso que muitos aspectos da infraestrutura crítica e dos sistemas de segurança nacional a incorporam.
Mas não há alocação oficial de recursos e poucos requisitos ou padrões formais para manter a segurança desse código crítico. Na verdade, a maior parte do trabalho para manter e aprimorar a segurança do código aberto, incluindo a correção de vulnerabilidades conhecidas, é feito de forma voluntária e ad hoc.”
A falta de pagamento por seu trabalho é uma das razões pelas quais o desenvolvedor de código aberto mencionado corrompeu suas próprias bibliotecas.
“Respeitosamente, não vou mais apoiar Fortune 500s (e outras empresas de menor porte) com meu trabalho gratuito”, escreveu ele em um post no GitHub de seu projeto. “Aproveite isso como uma oportunidade para me enviar um contrato anual de seis dígitos ou dividir o projeto e ter outra pessoa trabalhando nele.”
A questão dividiu a comunidade de desenvolvimento de software. Alguns foram solidários – afinal, todo mundo tem que colocar comida na mesa – enquanto outros foram menos:
O Google contribuiu com recursos financeiros para grupos e indivíduos que trabalham em código aberto para seu trabalho crítico. No ano passado, o Google comprometeu US$ 10 bilhões nos próximos cinco anos para “avançar a segurança cibernética”, corrigindo alguns dos principais problemas com código aberto e oferecendo mais treinamento.
Como parte desse compromisso, o Google alocou US$ 100 milhões para apoiar organizações independentes – incluindo a Open Source Security Foundation (OpenSSF) – que fazem o nobre trabalho de ajudar a corrigir vulnerabilidades de código aberto.
Três propostas para corrigir o código aberto
Durante a cúpula desta semana, o Google compartilhou três propostas para melhorar a forma como o código aberto é mantido e protegido.
A primeira proposta é estabelecer uma parceria público-privada para identificar projetos críticos. O Google acredita que ajudará na priorização e alocação de recursos para onde é mais provável que tenha o maior impacto positivo.
O próximo passo é estabelecer linhas de base de segurança, manutenção e teste.
O Google já tem alguma forma nessa área ao estabelecer o SLSA , uma estrutura de ponta a ponta para garantir a integridade da cadeia de suprimentos. A estrutura é suportada pela OpenSSF , uma organização que já está trabalhando para criar mais padrões entre indústrias.
A proposta final é aumentar o apoio público e privado.
“Na discussão de hoje, propusemos a criação de uma organização para servir como um mercado para manutenção de código aberto, combinando voluntários de empresas com os projetos críticos que mais precisam de suporte”, explica Walker.
“O Google está pronto para contribuir com recursos para esse esforço.”
As ações falam mais alto que as palavras e, até agora, as ações do Google têm sido altas, contribuindo com talentos e recursos financeiros significativos para corrigir o código aberto.
Uma maior colaboração entre os setores público e privado em open source só pode ser uma coisa boa. As propostas do Google procuram estabelecer uma base sólida de como isso pode parecer na prática.
Leia também: Top 8 plug-ins de gerenciamento de usuários para WordPress
