O software de código aberto apoiado pela comunidade vale o risco?

O discurso contínuo em torno da segurança dos projetos de software de código aberto tornou-se recentemente popular entre desenvolvedores e líderes empresariais. Em particular, a recente divulgação de uma vulnerabilidade na biblioteca de compressão xz usada pelo Linux abalou o mundo dos desenvolvedores, demonstrando que mesmo os maiores e mais ativos projetos de código aberto são suscetíveis à introdução de vulnerabilidades por agentes mal-intencionados.

Embora a comunidade de código aberto tenha elogiado a sua resposta rápida, transparente e colaborativa na resolução deste problema, bem como o facto de o atacante ter falhado instantaneamente, apesar de anos de planeamento, a comunidade também minimizou o risco geral que a confiança no código aberto pode representar. . A verdade é que, se o seu caso de uso depende de segurança sólida ou conformidade regulatória, o software comercial provavelmente será uma escolha superior para suas necessidades de desenvolvimento.

O resultado final é que qualquer projecto com governação baseada na comunidade cria um risco maior do que aquele com apoio 100% comercial. A maioria dos projetos de código aberto carece de pessoal e financiamento insuficiente, carecendo dos recursos adequados para implementar medidas de segurança. Verificações de antecedentes dos colaboradores raramente são realizadas. Equipes de segurança dedicadas, procedimentos formais de testes de segurança e medidas de responsabilidade estabelecidas para garantir a segurança e a integridade das bases de código e das operações do projeto estão praticamente ausentes.

Isso muitas vezes se traduz em código aberto que inclui vulnerabilidades não resolvidas e não atende aos requisitos regulatórios existentes, muito menos ao mundo em rápida evolução de novos requisitos de conformidade vindos da UE e, em breve, dos EUA. querendo quando comparado com os recursos de segurança e conformidade do software comercial.

Mantendo-se atualizado com a conformidade regulatória

O maior problema com projetos de código aberto subfinanciados é manter a conformidade com as regulamentações globais. Muitos mercados verticais têm requisitos rigorosos para a conformidade do software com regulamentos de segurança devido à natureza sensível dos dados que tratam e à criticidade das suas operações. Essas aplicações representam uma ampla gama de indústrias essenciais, incluindo:

• Assistência médica: A conformidade com os regulamentos da HIPAA (Lei de Responsabilidade e Portabilidade de Seguros de Saúde) nos EUA é crucial para proteger as informações de saúde dos pacientes. Os prestadores de cuidados de saúde, seguradoras e serviços relacionados devem garantir que os seus sistemas de software gerem e protegem com segurança os dados dos pacientes.
• Serviços financeiros: Este setor é fortemente regulamentado por leis como o GDPR (Regulamento Geral de Proteção de Dados) na Europa, GLBA (Lei Gramm-Leach-Bliley) nos EUA e outras regulamentações nacionais para proteger as informações financeiras do consumidor. Bancos, empresas de investimento e companhias de seguros exigem medidas de segurança robustas para evitar violações de dados e fraudes.
• Governo e Defesa: As entidades governamentais e os prestadores de serviços de defesa devem aderir a padrões de segurança rigorosos, como o NIST (Instituto Nacional de Padrões e Tecnologia) nos EUA e estruturas semelhantes em todo o mundo. Esses padrões garantem que o software usado pelas agências governamentais esteja seguro contra ameaças cibernéticas.
• Energia e serviços públicos: O setor energético, incluindo os serviços públicos de eletricidade, gás e água, deve cumprir regulamentos como o NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection) nos EUA. Esta conformidade é crucial para proteger infraestruturas críticas contra perturbações e ataques cibernéticos.
• Automotivo: Com o aumento dos veículos conectados, as regulamentações de segurança cibernética estão se tornando cada vez mais importantes na indústria automotiva. Regulamentações como a ISO/SAE 21434 são projetadas para garantir que as medidas de segurança cibernética sejam integradas em todos os processos de engenharia no desenvolvimento de veículos.
• Varejo: Os varejistas, especialmente aqueles que lidam com transações on-line significativas, devem cumprir o PCI DSS (Payment Card Industry Data Security Standard) para proteger as informações do cartão de crédito e evitar violações de dados.

Estas indústrias devem atualizar continuamente as suas práticas de segurança e soluções de software para cumprir as regulamentações em evolução e proteger-se contra novas ameaças cibernéticas. A maioria dos projetos de código aberto não consegue acompanhar, enquanto os projetos apoiados comercialmente tornam isso um custo para fazer negócios.

Fundações de código aberto podem introduzir riscos

Além da conformidade regulamentar, está agora claro que o código aberto gerido pela comunidade pode introduzir novos riscos de segurança significativos. A divulgação da vulnerabilidade xz do Linux colocou em destaque o ponto fraco do código aberto: que atores nefastos podem inserir malware backdoor se estabelecerem uma confiança falsa, fazendo contribuições benignas e úteis para obter poder de “mantenedor”.

Por outro lado, os fornecedores comerciais vão além, certificando a confiabilidade de um colaborador. Os fornecedores oferecem aos seus clientes indenizações com soluções financeiras poderosas caso não consigam proteger o software que distribuem. As fundações não podem e não irão fornecer tais proteções.

Isso não quer dizer que o software comercial seja invulnerável, mas as entidades apoiadas comercialmente quase sempre empregam significativamente mais salvaguardas do que os projetos de software livre e de código aberto.

Apoiando os resultados do software comercial em um código aberto mais forte

Quando você compra uma assinatura de um fornecedor comercial, o projeto de código aberto se torna mais seguro, mais forte e mais amplamente adotado.

Com o Akka, por exemplo, desde a conversão da nossa licença, melhoramos os recursos de segurança e conformidade do Akka de diversas maneiras que não seriam possíveis no nosso modelo anterior. Por exemplo, fixamos e indenizamos 42 CVEs em 18 meses. Também resolvemos 45 bugs, a maioria dos quais foram identificados por clientes que não puderam publicar problemas em questões públicas, mas podem revelá-los através de comunicações confidenciais. Estabelecemos a conformidade com GDPR e SOC2 Tipo 2 e estamos quase concluindo nossa conformidade com a ISO 27001. Certificamos nossa confiabilidade adotando diversas políticas da Estrutura de Desenvolvimento de Software Seguro e um atestado NIST-CSF para software usado ou vendido ao governo dos EUA.

Software de código aberto vs. Software comercial para risco reduzido

A vulnerabilidade xz serviu como um sinal de alerta para a indústria de software. É certamente verdade que isto foi resolvido de forma rápida e eficaz. No entanto, a esmagadora maioria dos projetos ativos de código aberto opera com orçamentos apertados, dependendo quase inteiramente de contribuições voluntárias de desenvolvedores individuais. Um relatório de 2021 da Tidelift destacou o subfinanciamento crônico e a falta de recursos que assolam a maioria dos projetos de código aberto. Sem fontes de financiamento dedicadas ou patrocínio corporativo, estes projetos carecem de meios para implementar processos de segurança robustos, realizar auditorias de código abrangentes ou fornecer quaisquer garantias sobre a integridade das suas bases de código. Estes flagrantes riscos de segurança não podem mais ser ignorados. Se o aplicativo no qual você ou seus clientes confiam exigir segurança robusta e conformidade regulatória, você deve considerar uma solução apoiada comercialmente como uma alternativa ao software de código aberto apoiado pela comunidade.

Em 29 de maio, às 11h, horário do leste, Lightbend realizará um seminário sobre a versão mais recente da estrutura de desenvolvimento Akka, versão 24.05, incluindo detalhes sobre as melhorias de segurança mais recentes. Registre-se aqui.

A postagem O software de código aberto apoiado pela comunidade vale o risco? apareceu primeiro em The New Stack.