![VentureBeat/Ideograma](https://optimuscloud.com.br/wp-content/uploads/2024/06/1718351044_Google-Gemini-prova-ser-um-treinador-de-saude-melhor-do-150x150.jpeg)
Google Gemini prova ser um treinador de saúde melhor do que os humanos
14 de junho de 2024![Por que o Python é tão lento (e o que está sendo feito a respeito)](https://optimuscloud.com.br/wp-content/uploads/2024/06/1718389325_Por-que-o-Python-e-tao-lento-e-o-que-150x150.jpg)
Por que o Python é tão lento (e o que está sendo feito a respeito)
14 de junho de 2024CloudNativeSecurityCon North America está de volta para mais um ano em Seattle, depois de se ramificar no ano passado de um evento co-localizado KubeCon + CloudNativeCon. O evento acontecerá durante dois dias, de 26 a 27 de junho, com eventos complementares em 25 de junho, incluindo o OTel Community Day e o Secure AI Summit.
A programação compreende 75 sessões que oferecem soluções práticas e discussões ponderadas sobre alguns dos tópicos mais urgentes em segurança, distribuídas em oito módulos. As sessões cobrirão segurança de rede, preparação para IA, observabilidade, cadeias de suprimentos, segurança de aplicativos e muito mais. Os participantes também aprenderão com uma dúzia de palestras durante os dois dias, cinco palestras relâmpago, participarão da experiência Capture the Flag e percorrerão o Solutions Showcase.
A segurança no ecossistema nativo da nuvem é profundamente complexa. Embora essas ferramentas forneçam desenvolvimento e implantação rápidos, há mais bordas e nós expostos, maiores superfícies de ataque e, em última análise, perda de controle. Indivíduos de todos os níveis devem permanecer à frente da curva, educando-se sobre tópicos como modelagem de ameaças multifacetadas, dimensionamento de IA com segurança, criptografia resistente a quantum e como mitigar vulnerabilidades de OSS.
Conversamos sobre o evento com os copresidentes deste ano: Cailyn Edwards, engenheira sênior de segurança da Auth0 by Okta; Marina Moore, Ph.D. candidato na Universidade de Nova York, copresidente do Grupo Consultivo Técnico de Segurança da Cloud Native Computing Foundation e mantenedor do TUF (The Update Framework), in-toto, Uptane e SBOMit; e Rey Lejano, arquiteto de soluções da Red Hat. Eles compartilharam suas ideias sobre as últimas tendências e desafios em segurança nativa da nuvem e as sessões que mais aguardam.
P: Quais são algumas das maiores tendências que você está vendo na segurança nativa da nuvem?
Cailyn Edwards: Há anos, a segurança da cadeia de suprimentos tem sido a coisa mais legal do mercado e, embora eu pessoalmente tenha pensado que poderíamos ver isso sendo deixado de lado pela IA, esse não parece ser o caso. No entanto, notei uma mudança no que estamos falando no domínio da segurança da cadeia de suprimentos – falamos menos sobre SBOMs e rastreamento de dependências e mais sobre contêineres mínimos. Acho que as pessoas perceberam que a chave para o rastreamento de dependências gerenciável é voltar a focar em imagens reduzidas, infraestrutura imutável e ser intencional e seletivo sobre quais dependências introduzimos em nosso software.
Marina Moore: Uma tendência importante é a aplicação das melhores práticas de segurança a projetos emergentes de IA. À medida que o campo da IA amadurece, vemos muito interesse em proteger a IA, especialmente a cadeia de fornecimento de IA, que está ligada a outra tendência contínua de segurança da cadeia de fornecimento de software. Tem sido ótimo ver o foco dessa tendência mudar ao longo do tempo. Alguns dos grandes tópicos sobre os quais estou ouvindo agora são atestados e políticas da cadeia de fornecimento de software.
Rey Lejano: A cadeia de suprimentos de software tem sido um tema popular há alguns anos e continua sendo. IA é o tópico de tecnologia mais quente deste ano, e incluímos uma nova faixa intitulada “Aproveitando + Preparando-se para IA em Segurança na Nuvem”. Estou super animado com as palestras da nova faixa.
P: Quais você acha que são os maiores desafios que a comunidade precisa superar?
Eduardo: Com o mercado um pouco menos sólido nos últimos anos, acho que estamos vendo menos apoio aos funcionários que passam tempo contribuindo e trabalhando com projetos de código aberto. Acho que precisamos lembrar a importância deste trabalho para evitar que a comunidade se esgote. Os profissionais de segurança são os mais invisíveis quando estão fazendo o seu melhor trabalho, e já vi empresas cometerem o erro de retirar recursos da segurança porque veem que tudo está indo bem. Mas o campo está em constante evolução e manter o software seguro é uma tarefa sem fim. A comunidade de segurança de código aberto impulsiona todo o setor e nos permite permanecer na vanguarda. Acho que veremos alguns incidentes graves nos próximos anos devido à falta de investimento em segurança.
Lejano: O maior desafio para a comunidade é a necessidade das organizações apoiarem seus funcionários na contribuição para projetos de código aberto. Entendo que não estaríamos aqui sem organizações que patrocinam projetos e conferências, mas os projetos precisam de mais contribuidores. Colaboradores de diversas empresas e com diversas origens tornam os projetos melhores.
P: Qual é o benefício da tecnologia nativa da nuvem quando se trata de segurança?
Eduardo: Está repleto de perspectivas variadas e movido por puro interesse e paixão. Aqueles de nós que passam tempo trabalhando com a comunidade nativa da nuvem fazem isso porque realmente nos preocupamos com isso e queremos garantir que as ferramentas nativas da nuvem sejam seguras e confiáveis. A comunidade está cheia de pessoas incrivelmente talentosas de diversas origens e experiências. Esse conhecimento partilhado significa que todo o ecossistema pode trabalhar em conjunto para enfrentar os grandes vilões cibernéticos.
Moura: Os projetos CNCF e quaisquer tecnologias construídas abertamente têm mais pessoas capazes de revisar o código e, portanto, mais chances de que bugs de segurança sejam detectados antes que possam ser explorados. Há também uma grande comunidade que foi criada para oferecer suporte à segurança nativa da nuvem. A TAG Security fornece orientação para projetos CNCF e white papers que podem ser usados por qualquer pessoa na comunidade.
Lejano: Vimos os benefícios da tecnologia nativa da nuvem se expandirem além da nuvem (pública) e vimos a tecnologia nativa da nuvem e metodologias associadas, como infraestrutura como código e GitOps, usadas em data centers e na borda. A mesma tecnologia e princípios são aplicados à segurança, como a Política como Código com GitOps, onde existem proteções para infraestrutura e aplicativos após a implantação. Projetos nativos da nuvem facilitam o DevSecOps — uma organização pode usar vários projetos CNCF para que os pipelines possam incluir geração de SBOM, assinatura de artefatos, digitalização de imagens e muito mais.
P: Há algum projeto de segurança de código aberto atualmente hospedado pela CNCF que você esteja de olho?
Eduardo: Um dos grandes motivos pelos quais entrei recentemente na Okta foi o trabalho que eles estão fazendo com o OpenFGA. Acho que há muitas melhorias a serem feitas no espaço IAM (gerenciamento de identidade e acesso) no momento, e a autorização refinada é um passo incrível na direção certa!
Moura: Estou entusiasmado com o trabalho de certificação que está acontecendo no projeto in-toto. in-toto é uma estrutura para integridade da cadeia de suprimentos que tem sido usada por SLSA (Níveis da cadeia de suprimentos para artefatos de software), Tekton, GUAC (Graph for Understanding Artifact Composition) e outros para criar e verificar atestados.
Lejano: Estou de olho no projeto Confidential Containers há alguns anos e nos avanços no uso de ambientes de execução confiáveis para proteger contêineres, especialmente em nuvens públicas. A segurança do tempo de execução é extremamente importante e às vezes esquecida, então Tetragon é um projeto CNCF baseado em eBPF para aplicação e observabilidade do tempo de execução.
P: CloudNativeSecurityCon está chegando e você é copresidente! Que palestras deixaram você realmente animado com o evento?
Eduardo: Estou muito animado com todas as palestras. Tivemos tantos envios incríveis. Será uma ótima escalação! Um que estou particularmente ansioso é “Avengers Assemble: Threat Modeling Kubernetes Clusters at a Massive Scale”, de Sai Charan Teja Gopaluni e Jamal Arif da Amazon Web Services. Adoro uma boa palestra sobre modelos de ameaças e é sempre interessante ouvir sobre aplicações em larga escala e como avaliar riscos potenciais. Outro que acho incrível é “IAM Confused: Decoding 8 Real World Cloud Identity Breaches”, de Maya Levine da Sysdig. Como disse antes, acho que ainda há muito a aprender e fazer com o IAM, e sempre fico impressionado com palestras que usam exemplos do mundo real.
Moura: Temos uma ótima programação de palestras este ano. Alguns dos que me entusiasmam são “Sigstore: direções passadas, presentes e futuras” e “Aumente o nível de sua carreira em segurança com a comunidade de segurança TAG”.
Lejano: Estou muito animado com um tutorial com Duffie Cooley intitulado “Navegando nos mares de segurança com o Tetragon”. A segurança do tempo de execução é frequentemente negligenciada, e este é um tutorial prático usando o Tetragon baseado em eBPF para aplicação e observabilidade do tempo de execução.
Dê uma olhada na programação da CloudNativeSecurityCon North America 2024 e inscreva-se hoje!
A postagem Um bate-papo com os copresidentes da CloudNativeSecurityCon North America 2024 apareceu pela primeira vez em The New Stack.