0
0
Garantir a segurança do software de código aberto do qual as organizações modernas dependem é uma responsabilidade crucial dos mantenedores de código aberto, especialmente porque os ataques à cadeia de suprimentos de software são cada vez mais comuns, de acordo com Tidelift.
Segurança de software de código aberto
Em resposta, o governo dos EUA iniciou uma iniciativa de segurança cibernética em grande escala começando com a Ordem Executiva 14028 da Casa Branca: Melhorando a Cibersegurança da Nação, que levou a uma codificação das melhores práticas de desenvolvimento seguro no NIST Secure Software Development Framework.
Mais recentemente, a Estratégia Nacional de Cibersegurança estabelece um novo precedente para a responsabilidade pela segurança de software, com o governo pretendendo responsabilizar os produtores de software por danos causados por vulnerabilidades de segurança evitáveis e oferecer proteções de responsabilidade às organizações que possam mostrar que seguem práticas seguras de desenvolvimento de software.
Ao mesmo tempo, os líderes do setor se reuniram para identificar as melhores práticas e padrões que melhorarão a segurança do software de código aberto; como o Open Software Security Foundation (OSSF) Scorecards Project e o Supply Chain Levels for Software Artifacts Framework (SLSA).
Mantenedores de código aberto assumem trabalho adicional para atender aos padrões
Ao analisar as respostas da pesquisa de mais de 300 mantenedores – as pessoas que criam e mantêm projetos de software de código aberto – um ponto em comum é que os mantenedores estão sendo solicitados a assumir trabalho adicional para atender aos padrões do governo e da indústria e estariam cada vez mais motivados a aprender mais sobre esses padrões e como aplicá-los a seus pacotes se tivessem recursos e compensação para fazer o trabalho.
Atualmente, esse não é o caso, já que 60% dos mantenedores se descrevem como hobbystas não remunerados, enquanto apenas 13% se descrevem como mantenedores profissionais que ganham a maior parte ou toda a sua renda com a manutenção de projetos.
“Como quase todas as organizações dependem fortemente do código aberto em seus aplicativos, esses novos dados demonstram a necessidade crescente de compensar e apoiar os mantenedores responsáveis pela integridade e segurança dos componentes críticos de código aberto dos quais todos dependemos”, disse Donald Fischer, CEO da Tidelift.
“Os mantenedores estão sendo responsabilizados por manter seus projetos seguros e aderirem aos novos padrões, mas muitas vezes não estão sendo reconhecidos ou pagos pelo trabalho adicional que estão sendo solicitados a fazer. Ao abordar essa inconsistência, podemos garantir que os mantenedores continuarão seu importante trabalho melhorando a segurança e a resiliência de longo prazo da cadeia de suprimentos de software de código aberto que alimenta o governo e a indústria”, continuou Fischer.
O que os pesquisadores encontraram:
Apesar das demandas crescentes, a maioria dos mantenedores ainda não recebe por seu trabalho
60% of maintainers describe themselves as unpaid hobbyists, while only 13% describe themselves as professional maintainers earning most or all of their income from maintaining projects. 23% of maintainers describe themselves as semi-professionals, earning some of their income from maintaining projects.
The more maintainers get paid, the more they work on open source. 81% of professional maintainers spend more than 20 hours per week maintaining their projects, compared to 27% of semi-professional maintainers, and only 7% of unpaid hobbyist maintainers.
Maintainers are being asked to do more security work. Over 50% didn’t get the memo
Mais de 50% dos mantenedores não estão cientes de novas iniciativas de padrões de segurança, como scorecards OSSF, SLSA e o SSDF NIST.
Dos mantenedores cientes de um ou mais desses padrões, 43% já começaram a trabalhar para se alinhar a esses padrões do setor ou planejam começar a trabalhar no próximo ano.
39% não têm planos de se alinhar a esses padrões da indústria e 19% ainda estão em cima do muro, relatando que não sabem ou não têm certeza se farão o trabalho para garantir que seus pacotes estejam alinhados com esses padrões da indústria.
Mantenedores para a indústria: não temos tempo nem dinheiro para fazer mais
38% dos mantenedores que não planejam alinhar seus projetos com os padrões da indústria dizem que simplesmente não têm tempo, enquanto 37% não o farão porque não estão sendo pagos pelo trabalho.
54% dos mantenedores gostariam de ajuda para que possam entender melhor esses novos padrões e como eles se aplicam ao seu projeto, enquanto 47% dos mantenedores querem ser pagos para realizar o trabalho necessário para alinhar seus projetos com os novos padrões.
Mantenedores pagos fazem mais trabalho de segurança e manutenção do que mantenedores não pagos
Em todas as práticas questionadas, os mantenedores pagos eram mais propensos a implementá-la ou tê-la no roteiro. Mais de 50% dos mantenedores pagos implementaram ou planejam implementar 12 das 16 práticas comuns de segurança e manutenção. Mantenedores não remunerados? Apenas 5 de 16.
As lacunas entre mantenedores não remunerados e pagos em algumas práticas importantes de segurança e manutenção são substanciais, lideradas por política formal de retrocompatibilidade (39% não pago, 71% pago, 32% gap), processo de gerenciamento de dependência definido (26% não pago, 57% pago, 31% gap), processos de construção reprodutíveis e verificáveis (47% não pagos, 77% pagos, gap 30%), plano de divulgação de segurança (42% não pago, 69% pago, gap 27%) e fornecer correções e recomendações para vulnerabilidades (43% não pago, 69% pago, gap 26%).
FONTE: HELPNET SECURITY