O Linux e o código aberto dominam o ambiente de TI em todo o planeta, com exceção dos desktops (em relação ao sistema). Assim, com esta presença cada vez maior, crescem também as responsabilidades com a segurança. Embora os problemas de segurança do código aberto sejam um pouco mais raros, as falhas podem estar em todo lugar. Pensando nisso, a Linux Foundation tenta resolver esta difícil equação levando mais garantias tanto ao sistema quanto aos softs derivados. Então, a Fundação lançou algumas parcerias entre a Core Infrastructure Initiative (CII)e o Laboratório de Ciência da Inovação de Harvard (LISH). Assim, Linux Foundation e Harvard anunciam pesquisa de segurança de contribuidores de código aberto e Linux uma pesquisa para colaboradores do FLOSS.
Isso se baseia em suas “Vulnerabilidades no núcleo, um relatório preliminar e no Censo II de software de código aberto“. Este estudo estabeleceu uma metodologia para entender e abordar as complexidades estruturais e de segurança de software de código aberto. Especificamente, ele também identifica os componentes FLOSS mais comumente usados em aplicativos de produção e os examina em busca de possíveis vulnerabilidades. Os resultados desta nova pesquisa ajudarão a implementar e aperfeiçoar:
Uma abordagem preventiva e colaborativa para fortalecer a segurança cibernética, melhorando a segurança do software de código aberto. Nosso objetivo é oferecer suporte, proteger e fortalecer software aberto, especialmente software essencial para a infraestrutura global de informações. Temos uma visão holística da segurança; incluímos riscos de segurança em projetos críticos que são inadequadamente sustentados ou vulneráveis a ataques da cadeia de suprimentos. Pretendemos usar essas informações da pesquisa para ajudar a guiar essa abordagem.
Linux Foundation e Harvard anunciam pesquisa de segurança de contribuidores de código aberto e Linux
Tudo isso explanado acima tem uma razão de ser. Afinal, o código aberto é vital para o mundo de hoje. Como disse David A. Wheeler, diretor de segurança da cadeia de suprimentos de código-fonte da Linux Foundation: “O software de código-fonte está presente em todos os lugares. Agora, mais do que nunca, precisamos entender melhor isso para ajudar a torná-lo ainda mais seguro.”
Além disso, a CII apontou recentemente como está usando seu programa de selo de boas práticas para incentivar os desenvolvedores a proteger seus programas e garantir a seus usuários que o software é seguro. Wheeler explicou: “Um selo de boas práticas da CII, especialmente um selo de ouro, mostra que um projeto de OSS implementou um grande número de boas práticas para manter o projeto sustentável, impedir que as vulnerabilidades entrem em seu software e resolvê-las quando encontradas”.
O selo de Melhores Práticas da Core Infrastructure Initiative (CII) mostra que um projeto segue as melhores práticas de segurança. Isso permite que outras pessoas avaliem rapidamente quais projetos estão seguindo as melhores práticas e têm maior probabilidade de produzir software seguro de alta qualidade. Mais de 3.000 projetos estão participando do projeto de crachá.
Existem três níveis: Passing, silver e gold. Cada nível requer que o projeto OSS atenda a um conjunto de critérios; para prata e ouro, que inclui atender ao nível anterior. O nível “passing” abrange o que os projetos OSS bem executados normalmente já fazem. Uma pontuação de aprovação exige que os programadores atendam 66 critérios em seis categorias.
Os diferentes níveis
O nível passing exige que o projeto declare publicamente como relatar vulnerabilidades ao projeto, Além disso, que os testes sejam adicionados à medida que a funcionalidade é adicionada e que a análise estática seja usada para analisar o software quanto a possíveis problemas. Em 14 de junho de 2020, havia 3.195 projetos participantes e 443 haviam conquistado o selo de aprovação.
Os de nível prata e ouro são intencionalmente mais exigentes.
O distintivo prateado foi projetado para ser mais difícil, mas possível para projetos individuais. Aqui estão exemplos de requisitos de prata (além dos requisitos de aprovação):
- O projeto deve ter FOSS test suite(s) automatizado que forneça pelo menos 80% de cobertura, se houver pelo menos uma ferramenta do FLOSS que possa medir esse critério na linguagem escolhida.
- Os resultados do projeto devem verificar todas as entradas de fontes potencialmente não confiáveis para garantir que sejam válidas (uma lista de permissões) e rejeitar entradas inválidas se houver alguma restrição nos dados.
O nível ouro adiciona requisitos adicionais. Os requisitos do prata são incluídos e também incluem:
- O projeto deve ter um “fator de barramento” de 2 ou mais. Um “fator de barramento” é o número mínimo de membros do projeto que devem desaparecer repentinamente de um projeto antes que ele pare devido à falta de pessoal experiente ou competente. Ela vem da velha piada sobre se um projeto pode sobreviver se o seu mantenedor principal for atropelado por um ônibus.
- O projeto deve ter pelo menos 50% de todas as modificações propostas revisadas antes da liberação por uma pessoa que não seja o autor.
- O projeto deve ter uma build reproduzível.
- O site do projeto, o repositório (se acessível via web) e o site de download (se separado) devem incluir cabeçalhos de proteção com valores não permissivos.
Linux Foundation e Harvard
Obviamente, um nível ouro não significa que um projeto seja perfeitamente seguro e não há bugs no código. Mas um selo de boas práticas da CII, especialmente um selo de ouro, mostra que um projeto implementou inúmeras práticas, que manterão o projeto sustentável, impedirão que as vulnerabilidades entrem em seus softwares e as solucionarão quando encontradas.
Você pode acessar o site do selo CII Best Practices para começar a ganhar um selo. Para obter mais informações básicas sobre o selo de melhores práticas, consulte a apresentação “Selo de melhores práticas da Iniciativa de Infraestrutura Básica (CII) em 2019“).
Por fim, para ajudar a definir as melhores práticas de desenvolvimento de segurança do FLOSS no futuro, participe da Pesquisa de Colaboradores do FOSS. Eles planejam fechar a pesquisa no início de agosto.
ZDNET