Novo projeto OpenSSF pode finalmente estar fazendo a segurança certa

Comentário: Durante anos tentamos abordar a segurança na empresa ou no nível organizacional. O novo Projeto Alpha-Omega parece estar adotando uma verdadeira abordagem de toda a indústria, e isso é promissor.

A segurança sempre foi um investimento nada atraente que tende a fazer mais sentido em retrospectiva do que em planejamento. Mais recentemente, à medida que as violações de segurança se tornaram a norma diária e não a exceção ocasional, empresas e projetos de código aberto começaram a priorizar a segurança, embora ainda esteja faltando em nossos processos de desenvolvimento de software.

O problema com essa abordagem é que ela permanece atomística, fragmentada. Conforme observado em um artigo recente do ZDNet, “O estado da segurança é massivamente desigual em todo o setor, com segurança muito boa em alguns dos principais fornecedores, mas a grande maioria … sem investimentos básicos em segurança”. Isso perde o ponto. Segurança não é algo que uma empresa ou projeto pode fazer por conta própria. É inerentemente um assunto da comunidade.

VEJA: Violação de senha: Por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

É por isso que considero algumas notícias recentes da Linux Foundation (LF) animadoras… precisamente porque não é sobre a Linux Foundation. Ou não exclusivamente, isto é.

A notícia por trás da notícia

Duas coisas foram anunciadas. Primeiro, a Open Source Security Foundation (OpenSSF), que opera sob o LF, adicionou outros 20 membros à sua lista. O que esses membros fazem? Ostensivamente, eles “ajudam a identificar e corrigir vulnerabilidades de segurança em software de código aberto e desenvolver ferramentas, treinamento, pesquisa, práticas recomendadas e práticas de divulgação de vulnerabilidade aprimoradas”. Na prática, muitas dessas empresas simplesmente querem demonstrar sua preocupação com a segurança, mas o bem real também vem dessas organizações.

Por exemplo, eu diria que, embora o OpenSSF agora conte com 60 membros no total, a realidade provável é que alguns membros-chave (pense no Google e na Microsoft neste caso) designarão desenvolvedores para colaborar estreitamente com outros membros do OpenSSF para melhorar a segurança em torno de determinados projetos de código aberto para evitar cenários como a vulnerabilidade Log4j.

Em outras palavras, algumas organizações podem investir em segurança e ter os recursos especializados para isso. Todos se beneficiam quando compartilham essas informações abertamente em um fórum da comunidade.

O segundo aspecto do anúncio do LF é sem dúvida ainda mais interessante. O OpenSSF também anunciou o Projeto Alpha-Omega, um projeto que tenta identificar todas as bibliotecas e pacotes de software de código aberto mais importantes e fundamentais do mundo, auditá-los e apoiá-los conforme necessário. Do lançamento:

“O projeto melhora a segurança global da cadeia de suprimentos de OSS trabalhando com os mantenedores do projeto para procurar sistematicamente por novas vulnerabilidades ainda não descobertas no código-fonte aberto e corrigi-las. “Alpha” trabalhará com os mantenedores dos projetos de código aberto mais críticos para ajudá-los a identificar e corrigir vulnerabilidades de segurança e melhorar sua postura de segurança. A “Omega” identificará pelo menos 10.000 projetos de OSS amplamente implantados nos quais poderá aplicar análise de segurança automatizada, pontuação e orientação de remediação para suas comunidades de mantenedores de código aberto.”

Financiado por US$ 5 milhões iniciais da Microsoft e do Google e apoiado pela Universidade de Harvard e pela LF, esse censo de projetos de código aberto ajuda as empresas a montar sua lista de materiais de software, conforme exigido pela ordem executiva dos EUA. Conforme observado pelos autores do censo, as listas que eles compilaram “representam nossa melhor estimativa de qual FOSS [free and open source software] pacotes são os mais utilizados por diferentes aplicações, dados os limites de tempo e os dados amplos, mas não exaustivos, que agregamos.”

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

É um começo impressionante para um trabalho muito necessário e não se concentra em projetos de software de nenhuma organização específica.

E essa é a verdadeira notícia. Não a ordem executiva. Não o envolvimento do Google/Microsoft. Nem mesmo o LF abordando iniciativas intersetoriais. Não, a verdadeira notícia é que a segurança é maior do que qualquer organização comercial como a LF. Aqueles 10.000 projetos de código aberto que o LF está ajudando a catalogar? A maioria não está sob a alçada do LF. Ou do Google. Ou da Microsoft. Ou [insert name of any organization].

A segurança afeta a todos, mas tentamos lidar com isso aos poucos. De uma postagem escrita pelo líder do Projeto Alpha-Omega e professor de Harvard, Frank Nagle, é necessário muito trabalho para melhorar a postura de segurança do software de código aberto em todos os projetos. Por exemplo, não há um esquema de nomenclatura padrão em projetos de código aberto, levando à confusão: “Não há um corpo centralizado para coordenar os nomes dos componentes FOSS e, portanto, pode haver vários componentes que têm o mesmo nome, mas não são o mesmo componente”. Mostramos que os desenvolvedores de código aberto podem corrigir problemas rapidamente quando eles surgem (talvez mais rápido do que qualquer outra pessoa), mas podemos nos unir para estruturar projetos de forma semelhante, de modo que alguns problemas de segurança desnecessários possam ser evitados?

Alpha-Omega é um ótimo começo para tentar resolver esses problemas em todo o setor, em vez de aos poucos. Depois de Heartbleed, tínhamos ambições semelhantes para resolver nossos problemas de segurança. Vamos torcer para que desta vez seja realmente diferente… e comunal.

.