Software de código aberto permite melhor segurança para organizações grandes e pequenas. É a base da sociedade atual e é encontrada em uma pilha de aplicativos modernos, desde o sistema operacional até as funções de rede. Estima-se que cerca de 90% das organizações usam código aberto de alguma forma, de acordo com o relatório Octoverse de 2022 do GitHub .
O software de código aberto pode ser examinado por todos, tanto atacantes quanto defensores. Mas isso não necessariamente dá vantagem aos atacantes. Em vez disso, oferece aos defensores a chance de reduzir o custo da defesa, aumentar a colaboração e garantir que muitos “olhos” estejam trabalhando juntos para detectar vulnerabilidades. A segurança sempre estará em primeiro lugar nas empresas, e o código aberto e sua natureza colaborativa têm o poder de gerar novas formas de proteção contra ameaças de segurança em constante evolução.
Prevenção é melhor que a cura
O filósofo holandês Desiderius Erasmus disse que “é melhor prevenir do que remediar”, e em nenhum lugar isso é mais verdadeiro do que na segurança cibernética. Aqui, a velocidade e a agilidade do código aberto entram em jogo.
À medida que mais e mais organizações usam código aberto, há um efeito multiplicador de força em ação. Se várias grandes equipes de segurança cibernética estiverem analisando o código do software de código aberto comumente usado, é mais provável que os problemas possam ser antecipados e resolvidos. Em vez de haver uma única equipe procurando por bugs e exploits, o código aberto abre esse processo para o mundo. O código-fonte aberto é visível ao público e, portanto, qualquer pessoa pode encontrar bugs que os desenvolvedores podem não ter notado.
Como uma ferramenta amplamente adotada e eficaz, a inteligência de ameaças de código aberto ajuda as empresas a identificar todos os riscos, vulnerabilidades e ameaças crescentes para proteger os ativos de dados valiosos da organização. Para as empresas que escolhem o código aberto, isso se torna colaborativo, com várias organizações e indivíduos interessados em garantir que a segurança seja mantida rígida e atualizada.
Juntamente com o código aberto, as empresas devem adotar outras medidas de práticas recomendadas para software seguro, como revisões de código, verificação de vulnerabilidades, visibilidade do sistema e conhecimento da superfície de ataque – apenas algumas maneiras pelas quais códigos, pacotes e sistemas podem ser avaliados quanto à segurança . Com base nisso, os programas de recompensas por bugs se tornaram uma realidade para grandes empresas de tecnologia, oferecendo aos indivíduos reconhecimento e compensação por relatar vulnerabilidades de segurança e falhas de design.
Aumentando a segurança com ferramentas de terceiros
As organizações estão otimistas com a segurança do desenvolvimento de software de código aberto, com uma média de 77% acreditando que a segurança do desenvolvimento de código aberto melhorará até o final de 2023, de acordo com um relatório da Linux Foundation de 2022 . Muitos também acreditam que sua estratégia de segurança será impulsionada por ferramentas de segurança mais inteligentes dos fornecedores.
Em média, as organizações do relatório usaram de duas a três ferramentas de teste de segurança para identificar vulnerabilidades. De um modo geral, usar mais ferramentas é vantajoso, já que todas agregam valor de maneiras diferentes. As ferramentas de terceiros oferecem escalabilidade e potencial de automação – com as ferramentas SCA (análise de composição de software) provando ser as mais úteis, de acordo com o relatório, permitindo que as organizações identifiquem problemas de licença e vulnerabilidades em um portfólio de componentes e dependências, em um ambiente altamente automatizado maneira.
Também vemos mais organizações usando maior automação para reduzir as superfícies de ataque, juntamente com auditorias de segurança. Ao explorar automaticamente as dependências de código aberto em aplicativos, as empresas recebem informações valiosas e versões críticas e disparam alertas para identificar violações de políticas. Em seguida, eles monitoram, alertam e bloqueiam automaticamente ataques na produção, visando a vulnerabilidade de qualquer componente de código aberto, permitindo que as organizações tomem medidas rápidas. Usar essas ferramentas para encontrar vulnerabilidades funciona. Frequentemente, quando uma dependência vulnerável é baixada, há uma versão não vulnerável disponível.
O desenvolvimento da segurança de código aberto
Este ano houve movimentos de governos e grandes empresas de tecnologia para garantir a segurança do software de código aberto, com o OpenSSF (Open Source Security Foundation) anunciando iniciativas para melhorar a segurança do software de código aberto, incluindo um fundo de US$ 30 milhões com um fundo de 10 plano de ponto para aumentar a segurança do software de código aberto.
É provável que esse foco global na segurança em código aberto aumente apenas no próximo ano, com as organizações enfrentando riscos geopolíticos contínuos e ataques às cadeias de suprimentos. Haverá um esforço dos desenvolvedores para interromper esses ataques, juntamente com uma maior colaboração entre as organizações para aumentar a segurança do código aberto.
FONTE: HELPNET SECURITY