Chefe de segurança do Github discute open source para evitar nova falha Log4j
Por Dácio Castelo Branco | Editado por Claudio Yuge | 10 de Fevereiro de 2022 às 14h20
No final do ano passado, a falha na biblioteca Log4J do Java chocou o mundo da segurança virtual sendo usada por milhões de criminosos para invadir e comprometer dados de variados sistemas no planeta inteiro. E, considerando a origem open source do repositório afetado, debates sobre esses tipos de aplicações e suas utilizações na tecnologia foram intensificados.
A falha Log4JShell atingiu um dos repositórios open-source mais populares e utilizadas do Java, e exigia apenas o envio de algumas linhas de código customizadas para um computador conectado — possibilitando a propagação de diferentes atividades maliciosas, o que causou uma grande disseminação de ataques a utilizando pelo mundo inteiro.
O fato dessa falha ser open source, ou seja, código aberto, acabou criando questionamentos variados sobre a importância desse tipo de aplicação no cenário de tecnologia mundial. Para esclarecer alguma dessas dúvidas, o Canaltech entrevistou Mike Hanley, Chefe Executivo de Segurança do GitHub, que participou de uma reunião em janeiro na Casa Branca sobre os softwares de código aberto, o White House Summit. O evento contou também com presença de empresas como Apple e Google.
A definição de open source e desafios do setor
A conversa foi aberta com Hanley definindo o que é open-source atualmente, no contexto que está sendo discutido após a falha do LogJ4. Para o executivo, os softwares de código aberto, em poucas décadas, cresceu para se tornar uma parte essencial da infraestrutura da indústria, estando presente em pelo menos 99% dos softwares do mundo — e falhas como a no repositório Java e a que atingiu o SolarWinds no ano passado reforçam a necessidade de empresas como o GitHub darem suporte aos desenvolvedores desses códigos.
Mas ao mesmo tempo, Hanley destaca que novos desafios no setor ficaram evidentes após a exploração dessas falhas, destacando a necessidade de capacitar desenvolvedores dos mais diferentes ambientes na questão de segurança virtual: "Desenvolvedores vêm de diferentes origens e precisamos capacitá-los por meio de mecanismos sustentáveis que sirvam tanto a eles quanto às comunidades das quais fazem parte", explica o executivo.
O executivo também destaca a necessidade de empresas como o GitHub apoiarem de forma mais ampla os desenvolvedores open-source, para facilitar o processo de desenvolvimento e checagem de segurança das soluções.
Alguns dos exemplos citados do GitHub sobre essas soluções foram o foco da empresa em ajudar a implementar medidas de segurança automaticamente no fluxo de trabalho dos desenvolvedores, para que possam se concentrar na programação sem grandes preocupações e sem perder sua autonomia.
Reunião na Casa Branca definiu rumos para futuro da segurança open-source
A conversa também abordou o evento focado em segurança digital sediado pela Casa Branca no final de janeiro, com Hanley explicando alguns dos passos que as grandes empresas de tecnologia irão tomar para auxiliar o setor open-source.
Segundo o executivo, o evento reforçou a importância do compromisso e parcerias entre setores de tecnologias públicos e privados, citando como exemplo a OpenSSF, iniciativa criada pelo GitHub focada na melhoria de segurança dessas aplicações. "Um exemplo de porque essa colaboração é tão importante é que cada stakeholder pode ter uma perspectiva sobre quais questões são mais críticas. Por meio de fóruns como o White House Summit, e também por meio da OpenSSF, podemos trabalhar juntos em busca de um consenso."
Finalizando a conversa, o executivo destaca também que o GitHub continuará focando em investimentos para ajudar os desenvolvedores e os projetos que vivem no GitHub, e ao redor dele, a permanecerem seguros.