GitHub e a missão de proteger a comunidade de desenvolvimento

“Boa segurança é aquela que protege o desenvolvedor diretamente, onde estiver”. Para Michael Hanley, diretor de segurança e vice-presidente sênior de engenharia do GitHub, a responsabilidade da plataforma vai além, apenas, de códigos, dados e logins seguros. Trata-se, na visão dele, de elevar a barra desse aspecto para toda a comunidade e levar aos usuários, de freelancers individuais a grandes corporações, as melhores práticas de defesa digital.

• Como funcionam segurança e usabilidade no desenvolvimento remoto de software?
• GitHub libera IA que ajuda a programar para todos os usuários

É um trabalho hercúleo. Afinal de contas, estamos falando da principal comunidade de desenvolvimento de software do mundo, com o Brasil sendo o quarto maior mercado global do GitHub. Todos os dias, são milhões de usuários e repositórios acessados e um sem número de linhas de código alteradas, hospedadas e baixadas em projetos de código aberto por terceiros. Há mais de dois anos na linha de frente da segurança da rede, depois de uma carreira com passagens por grandes e pequenas empresas, além de setores governamentais, Hanley chegou a uma conclusão.

“As melhores inovações de segurança saem das proximidades dos times de desenvolvimento, que estão efetivamente entregando produtos aos clientes e usuários de todo o mundo”, aponta o especialista, em entrevista ao Canaltech. É por isso que, na visão dele, a verdadeira proteção precisa estar focada nesse público, sem gerar fricções ou dificuldades. Ninguém precisa delas, afinal de contas, e quando elas existem, aponta, a tendência é que as pessoas se desviem, podendo colocar dados, códigos e trabalhos em risco.

Por isso, a ideia central do GitHub é balancear as melhores práticas de resiliência com o design da própria plataforma, de forma que os produtores possam usar o GitHub para seu objetivo final, que é o desenvolvimento de software. “Eles vieram para criar. Nossa tese, então, é sobre como podemos garantir que eles consigam fazer isso, tendo suas necessidades atendidas, sem precisarem se preocupar demais com as ameaças que estão aí fora.”

Os três pilares da segurança, segundo o GitHub

Sua abrangência é imensurável, mas Hanley aponta que a plataforma foi capaz de traduzir sua abordagem a três elementos centrais. O primeiro, e talvez mais fundamental deles, é garantir que a plataforma seja segura, tanto em relação à sua própria operação quanto sobre aquilo que é disponibilizado nela pela comunidade. Tudo para garantir que o propósito inicial, a criação de soluções, seja concretizado.

Depois, a ideia é garantir que os negócios que funcionam em cima desta base estejam protegidos devidamente. Esse princípio dialoga com o anterior e, de acordo com o diretor de segurança, vem da ideia de que os usuários do GitHub entendem que seus dados e trabalhos estão protegidos quando confiados à plataforma, com os devidos controles e salvaguardas relacionados à infraestrutura de tecnologia e administração.

Por fim, na visão do especialista, vem o aspecto que ele considera único: tornar o GitHub uma vitrine das melhores práticas de segurança digital disponível no mercado. “[A plataforma] é a casa do código aberto, e como tal, precisamos servir de exemplo. Queremos usar esse potencial para expressar a nossa opinião sobre o que é uma boa proteção”, explica Hanley.

Esse posicionamento se traduz em recursos, adições de ferramentas e elementos mandatórios que fazem parte do dia a dia do desenvolvimento. É o caso, por exemplo, de sistemas como o escaneamento de credenciais em formato “push”, que notifica desenvolvedores caso segredos e credenciais sejam localizados no código hospedado no GitHub, ou a obrigatoriedade do uso de autenticação em duas etapas para proteger contas de usuário.

Hanley fala deste como um dos avanços de segurança mais importantes implementados na plataforma nos últimos anos. Porém, o serviço também enxerga a segurança como uma responsabilidade compartilhada, na qual não basta, apenas, que um dos lados esteja devidamente protegido. Enquanto tais protocolos precisam estar presentes em todos os estágios do desenvolvimento de software, voltamos à afirmação que abre esta reportagem, que agora soa como um desafio: como garantir que os bons protocolos ensinados sejam efetivamente aprendidos?

Inspiração de dentro de casa

Na visão do especialista, muitos dos avanços de resiliência nos últimos anos foram feitos na base do susto, após um incidente de segurança ou uma grande ameaça que gera a movimentação necessária para que os sistemas se tornem mais protegidos. Não é a melhor forma de agir, aponta, mas para o bem ou para o mal, funciona. “Estamos, de certa forma, estimulando os usuários a terem uma reação quando implementamos controles fundamentais de segurança [de forma obrigatória]”, completa.

Enquanto isso, times de pesquisa e inteligência de ameaças analisam constantemente o cenário de risco digital, de olho tanto nos perigos ao próprio GitHub quando à ascensão de tendências como os ataques à cadeia de suprimentos e os roubos de credenciais. Para Hanley, evoluir o cenário da cibersegurança também envolve compartilhar conhecimento e insights, algo que é feito por meio de blogs públicos e eventos voltados à comunidade.

“Na segurança, uma mão lava a outra, e no final das contas, todos estamos buscando acertar o básico e evoluir daí”, acredita o especialista, mais uma vez lançando luz sobre o conceito de responsabilidade compartilhada na segurança digital. Não se trata apenas de proteger logins ou garantir outras medidas básicas de proteção, como o uso de ferramentas de segurança de dispositivos e padrões claros para atualização de sistemas operacionais e infraestrutura; o ideal, no fim, é a abrangência e a proteção completa, seja essa uma utopia ou não.

Novamente dialogando com aspectos já comentados, as bases fundamentais da segurança do GitHub também estão relacionadas à maneira pela qual esse aspecto é tratado internamente, nos controles e operações internas da própria rede. O protocolo, claro, é o zero trust, e como uma plataforma que faz parte do guarda-chuva da Microsoft, a proteção de identidades é o ponto-chave da estratégia.

Recursos internos, então, acabam servindo como referência para a comunidade geral. Os funcionários da empresa, por exemplo, lidam com um intrincado sistema para acessar aplicações críticas, dados sensíveis ou publicar mudanças na plataforma para todo o público, um aspecto que serviu para que o GitHub também trabalhasse em um sistema de tokens para os usuários. Aqui, os protocolos se tornam cada vez mais robustos, principalmente em termos de validade, de acordo com os privilégios necessários para conexão a um determinado serviço.

O que o GitHub faz, então, é dar um empurrãozinho nos desenvolvedores e empresas que usam seus sistemas em prol da adoção de melhores práticas. “Acreditamos ter um ‘efeito cascata’ no ecossistema de softwares. A esperança é que, depois de trabalharem [aqui], a comunidade tenha uma adoção cada vez maior dos princípios de confiança zero”, finaliza Hanley.