Interrupções relacionadas a software Open Source preocupam

Uma série de incidentes de “sabotagem” em software de código aberto está reacendendo as discussões sobre como proteger projetos que sustentam plataformas e redes digitais em todo o mundo. Muitos dos incidentes recentes foram apelidados de “protestware” porque se relacionam com desenvolvedores de Open Source fazendo alterações de código para expressar apoio à Ucrânia em meio à invasão da Rússia e ao ataque contínuo ao país.

Em alguns casos, o software de Open Source foi modificado para exibir sobreposições anti-guerra ou outras mensagens de solidariedade com a Ucrânia. Em pelo menos um caso, porém, um pacote de software popular foi modificado para implantar um limpador de dados maliciosos em computadores russos e bielorrussos. Essa onda de protestos em Open Source vem apenas alguns meses depois de um incidente aparentemente não relacionado no qual um mantenedor sabotou dois de seus projetos de código aberto amplamente usados ​​por aparente frustração decorrente de se sentir sobrecarregado e subcompensado.

Os incidentes foram relativamente contidos até agora, mas ameaçam abalar ainda mais a confiança no ecossistema, assim como a indústria de tecnologia se esforça para resolver outros problemas de segurança da cadeia de suprimentos de software ligados ao Open Source. E embora o suporte financeiro, as promessas de ferramentas automatizadas e a atenção da Casa Branca sejam bem-vindos, a comunidade de Open Source precisa de ajuda mais robusta e sustentada.

Em um comunicado na quinta-feira, a Open Source Initiative, que denunciou categoricamente a guerra da Rússia na Ucrânia, se manifestou contra o protestware destrutivo, pedindo aos membros da comunidade que encontrem maneiras criativas e alternativas de usar suas posições como mantenedores para se opor à guerra.

O software de Open Sourceo em geral é gratuito para qualquer pessoa usar, portanto, as ferramentas e os programas são incorporados a tudo, desde projetos independentes até software de consumidor proprietário e mainstream. Ninguém quer perder tempo escrevendo e testando um componente do zero quando poderia simplesmente conectar e reproduzir uma versão pronta. Isso significa, porém, que todos os tipos de software dependem de projetos que são mantidos por um ou poucos voluntários – ou projetos que não são mais mantidos.

Um benefício há muito elogiado do software de Open Source é que ele tem o potencial de ser tão seguro quanto, ou mais seguro, que o código proprietário, porque está aberto à verificação independente. A ideia é que muitos olhos geram poucos insetos. Na prática, porém, essa proteção tem limitações precisamente porque muitas vezes não há muitos olhos disponíveis. A questão da sabotagem, no entanto, atinge o cerne da premissa do código aberto como um espaço descentralizado e não federado.

Não há como remover completamente a ameaça de que um mantenedor de um projeto de Open Source seja desonesto, seja por motivos pessoais ou por influência criminosa ou governamental. Mas as chamadas “ameaças internas” também não podem ser completamente eliminadas dentro das empresas privadas. A comunidade de código aberto e grandes influências como o Github estão procurando cada vez mais ferramentas automatizadas de verificação de código para colocar mais olhos (se digitais) até mesmo nos projetos mais esotéricos e detectar mais bugs ou alterações potencialmente suspeitas antes de serem lançados ou logo depois.

Lançar uma rede tão ampla é particularmente importante por causa de outro problema na segurança de Open Source em que atores mal-intencionados se infiltram em projetos ou convencem mantenedores esgotados a entregar as rédeas e, em seguida, ter controle total para implantar o que quiserem. Os scanners automatizados têm limitações, porém, e Lorenc observa que eles geralmente são melhores em capturar bugs acidentais do que aqueles que são projetados intencionalmente para sabotagem.

Pesquisadores e profissionais de segurança de Open Sourceo de longa data são inflexíveis, no entanto, que outra salvaguarda vital existe abertamente: expandir massivamente o suporte e os recursos que os mantenedores podem buscar em geral e especialmente se seu divertido projeto de hobby eventualmente se transformar em um elo crítico no mundo global. cadeia de suprimentos de software.

O software de Open Source se compara à infraestrutura pública, como estradas ou serviços públicos. O subfinanciamento dessa infraestrutura pode (e leva) a problemas de má gestão e segurança. Os defensores do código aberto vêm levantando esse alarme há anos, mas parece que finalmente houve progresso na conscientização após grandes incidentes como a onda de hackers da cadeia de suprimentos SolarWinds perpetrada para espionagem russa e revelações de vulnerabilidades no log de código aberto Log4j library, que expôs organizações e redes em todo o mundo a ataques.

À medida que o desenvolvimento de Open Source ganhou aceitação e notoriedade popular, as apostas tornaram-se perigosamente altas para proteger projetos e evitar reações adversas que poderiam afastar governos, empresas e outras entidades poderosas do uso do código aberto.

Fonte: Wired