Por que mudamos os testes para a esquerda: um ciclo de desenvolvimento de software que não pode ser escalonado
10 de maio de 2024
Como usar Pyscript para criar aplicativos da Web em Python
10 de maio de 2024
Imagine que o sistema de triagem de segurança usado no aeroporto local quebrou pela segunda vez este mês. Infelizmente, nada pode ser feito porque é responsabilidade de um cara, Bob, garantir que o sistema de triagem de segurança esteja funcionando. E Bob é um voluntário não remunerado.
Bob tem um emprego diurno de tempo integral, então ele só pode fazer reparos em telas de segurança à noite e nos finais de semana, e somente quando não é temporada de futebol, porque ele treina suas garotas à noite, durante a temporada de futebol. Portanto, a segurança dos nossos céus terá que esperar até que o treino de futebol termine.
Parece ridículo? Esta é exatamente a situação que aceitamos como normal no que diz respeito à infraestrutura de software que alimenta todos os telefones, computadores e aplicativos executados neles no mundo.
Isso ganhou grande relevo no início deste mês, quando um software obscuro, mas muito usado, chamado xz – que é mantido por um único desenvolvedor voluntário não remunerado – foi comprometido, provavelmente por um ator estatal bem financiado, como a China ou a Rússia. A parte mais alarmante deste hack, e o que deixou bem claro, é que a nossa infra-estrutura global de software – utilizada por grandes corporações para gerar milhares de milhões de dólares de riqueza – é construída com base no trabalho não remunerado.
Isso é perigoso e precisa mudar.
Algumas informações básicas: hoje, quase toda tecnologia é construída usando software de código aberto. O projeto xz no centro deste hack é um exemplo de software de código aberto – disponível gratuitamente e altamente dependente de código usado por milhões de pessoas e organizações para compactar dados e fazê-los ocupar menos espaço.
Nos últimos 25 anos, o código aberto passou de um conceito de nicho para o de fato forma de construir software. Isso ocorre principalmente porque dá a qualquer organização que o utiliza uma enorme vantagem inicial de bilhões de linhas de código que podem usar livremente, em vez de escrever seu próprio código do zero. Na verdade, um estudo descobriram que alguns produtos de software comercial são compostos por mais de 99,9% de software de código aberto disponível gratuitamente.
O código aberto tornou-se um bem público global – infraestrutura insubstituível que deveria ser mencionada na mesma frase com água potável, energia elétrica confiável, rodovias seguras e, sim, segurança aeroportuária. Na verdade, um estudo recente da Harvard Business School estimou o valor do lado da demanda da infraestrutura de software de código aberto da qual todos dependemos em US$ 8,8 trilhões.
Em comparação, o sistema rodoviário interestadual dos EUA é avaliado em apenas US$ 742 bilhõese toda a rede elétrica dos EUA é avaliada em apenas US$ 1,5 trilhão a US$ 2 trilhões.
É por isso que é tão interessante – e também assustador – que grande parte do software de código aberto que gere as nossas empresas, os nossos governos e até os nossos sistemas de armas seja escrito e mantido por uma vasta comunidade de voluntários não remunerados – como Lasse Collin, o mantenedor do xz.
O ataque que capturou xz foi um hack elaborado e desonesto de engenharia social que levou anos para ser executado, envolveu vários pseudônimos falsos e se aproveitou de um elo fraco: um mantenedor de código aberto sobrecarregado e não remunerado.
Alguém usando o pseudônimo Jia Tan conquistou a confiança de Collin ao contribuir com códigos úteis durante um período de vários anos. Os outros pseudônimos assediaram Collin, perguntando por que mais trabalho não estava sendo feito e por que ele não deixava alguém que tivesse tempo para trabalhar no projeto assumir o controle.
Eventualmente, depois de admitir sofrer de problemas de saúde mental, Collin cedeu à pressão e concedeu a Jia Tan o direito de adicionar seu próprio código ao xz. Jia Tan então usou seus privilégios de acesso para adicionar um backdoor de segurança que permitiria acesso irrestrito para executar comandos maliciosos em qualquer computador afetado. Esse backdoor foi descoberto acidentalmente por um desenvolvedor curioso da Microsoft que estava investigando por que o xz estava lento.
Embora esse hack tenha sido excepcionalmente sofisticado e descoberto antes que pudesse causar estragos globais, os ataques à infraestrutura de código aberto estão se tornando uma ocorrência cada vez mais regular.
As ações para enfrentar essas ameaças iminentes à nossa infraestrutura de software não poderão ocorrer em breve.
Em 2022, o governo dos EUA aprovou uma lei de infra-estruturas nacional bipartidária que forneceu mais de 400 mil milhões de dólares em financiamento para projectos de infra-estruturas desesperadamente necessários, incluindo esforços para actualizar pontes e auto-estradas, ligar mais pessoas à Internet, melhorar a fiabilidade da rede eléctrica e muito mais. . Mas o investimento na nossa infra-estrutura de software partilhada – incluindo o pagamento das contribuições dos programadores de código aberto que a constroem – não foi incluído.
No ano seguinte, a Casa Branca revelou um Estratégia Nacional de Cibersegurança que, entre outras coisas, buscava melhorar a segurança do software de código aberto. No outono de 2023, o Gabinete do Diretor Nacional Cibernético divulgou um solicitação de informações sobre maneiras de melhorar a segurança do software de código abertoconcluindo: “Pode ser apropriado tornar o software de código aberto uma prioridade pública nacional para ajudar a garantir a segurança, a sustentabilidade e a saúde do ecossistema de software de código aberto.”
E como parte de uma resposta ao hack xz, Mark E. Green, presidente do Comitê de Segurança Interna da Câmara, apelou à Câmara dos Representantes para trazer a Lei de Proteção de Software de Código Aberto(HR 3286) para votar. No entanto, nenhuma destas iniciativas abordou diretamente — ou financiou — o trabalho realizado por seres humanos reais, necessário para manter a nossa infraestrutura de código aberto devidamente mantida.
Os governos modernos foram criados em parte para financiar bens públicos como serviços de saúde, transportes e infraestruturas energéticas, mas o software de código aberto é o único bem público no mundo que ainda depende do trabalho voluntário para mantê-lo seguro e protegido.
A realidade atual é que os desenvolvedores não remunerados ainda são a norma para projetos de código aberto, e esses desenvolvedores estão sendo encarregados de uma quantidade cada vez maior de trabalho para garantir a segurança do software em que todos confiamos, à medida que as ameaças se tornam mais difundidas. Esse status quo não é sustentável e o problema torna-se mais grave a cada dia.
Todos nós nos beneficiamos do incrível recurso que o software de código aberto se tornou. Mas tal como as nossas estradas, pontes, redes eléctricas e aeroportos irão deteriorar-se sem investimento público, o mesmo acontecerá com a nossa infra-estrutura de software. Precisamos de medidas urgentes por parte do governo e de muitas indústrias baseadas em software de código aberto para garantir que isso não aconteça.
A postagem O hack xz revelou um desastre iminente de infraestrutura de US$ 8,8 trilhões apareceu pela primeira vez em The New Stack.
