O código-fonte aberto é onipresente no universo do software. Quase todas as organizações que usam software para aprimorar a transformação digital ou agilidade de negócios estão consumindo código aberto de alguma forma. Na verdade, hoje 99% de todos os projetos de software são criados com código aberto. Organizações cuja pilha de software é construída em código aberto têm sido capazes de girar e recalibrar rapidamente para atender às necessidades do ambiente atual devido à agilidade que o código aberto oferece.
A adoção de componentes de código aberto aumenta, assim como os riscos de segurança para desenvolvedores e equipes de segurança. Para organizações em uma jornada de transformação digital, a segurança deve ser uma prioridade. Com tantos códigos sendo criados e consumidos de maneira colaborativa, a necessidade de garantir a segurança é ainda mais crítica para eles. O projeto de software médio depende de mais de 200 outros componentes. Portanto, uma comunidade de código aberto segura e saudável não é boa apenas para o software de código aberto, mas também beneficia milhões de empresas que dependem dele.
A mesma cultura colaborativa de desenvolvimento de código com código aberto também se aplica à sua proteção. Ao tornar isso uma responsabilidade coletiva, o código aberto combina as mentes mais inteligentes dos mundos de desenvolvedor, mantenedor e segurança para minimizar vulnerabilidades e prevenir incidentes de forma proativa.
Um aspecto importante para tornar a segurança uma responsabilidade coletiva é que os desenvolvedores têm autonomia para verificar continuamente as vulnerabilidades como parte da fase de desenvolvimento e teste. Essa abordagem é conhecida como ‘shift-left’. Ao mudar a segurança para a esquerda, os desenvolvedores são capazes de descobrir e corrigir vulnerabilidades nos estágios iniciais do ciclo de vida de desenvolvimento de software, para que sejam erradicados antes que o código seja implantado na produção.
O código-fonte aberto é fundamentalmente mais seguro do que o código proprietário por causa dessa natureza muito colaborativa de como é construído – há mais especialistas envolvidos na identificação e solução de problemas de segurança no código. Mas a pesquisa de segurança é uma habilidade especializada e a oferta de pesquisadores supera em muito a demanda, tanto que os pesquisadores de segurança são, em média, superados em 500: 1 quando comparados aos desenvolvedores. É aqui que a comunidade pode ajudar, identificando e divulgando rapidamente vulnerabilidades no código.
A pesquisa indica que 70 por cento das vezes, as vulnerabilidades permanecem não corrigidas, até mesmo um mês após a notificação. Assim, a responsabilidade de uma comunidade é alertar e também tornar mais fácil para os usuários rastrear e resolver seus projetos para que permaneçam seguros e robustos. Hoje, ferramentas automatizadas como varredura de código podem ajudar a agilizar esse processo.
As plataformas de desenvolvimento de software livre estão evoluindo rapidamente para oferecer suporte a essa abordagem colaborativa para a construção de código seguro e fornecer ferramentas para expandir os recursos de pesquisa de segurança. Desde a detecção automatizada e remediação até o rastreamento de vulnerabilidades de segurança emergentes, essas plataformas se concentram em ajudar os desenvolvedores a identificar ameaças e corrigir vulnerabilidades antes que o código entre no ciclo de produção.
Muitas empresas com visão de futuro estão se voltando para o código aberto para inovar com velocidade. A promessa de código aberto é aquela em que a segurança é uma parte essencial de todo o ciclo de vida do produto e não é tratada isoladamente. Por sua vez, as empresas que usam e constroem com código aberto não devem apenas encorajar práticas seguras em todo o ciclo de vida de desenvolvimento, mas também devem pensar em comprometer recursos de volta para a comunidade de código aberto mais ampla para que possamos criar um mundo digital mais seguro que beneficie a todos.
O autor é Country Manager, GitHub Índia.
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…