.
A proteção de software de código aberto poderá em breve se tornar um pouco mais fácil graças a um novo esforço de compartilhamento de informações sobre vulnerabilidades iniciado pela Open Source Security Foundation (OpenSSF).
Apelidado de OpenSSF Siren, o grupo de compartilhamento de inteligência sobre ameaças tem como objetivo “agregar e disseminar inteligência sobre ameaças” para fornecer boletins de alerta de segurança em tempo real e fornecer uma base de conhecimento voltada para a comunidade, anunciou a Fundação em comunicado na segunda-feira.
O OpenSSF espera que o Siren possa preencher a lacuna entre as comunidades de código aberto e empresariais. Tanto os desenvolvedores FOSS quanto as equipes responsáveis pelo gerenciamento de ameaças à segurança são incentivados a se inscrever.
“O objetivo do SIREN é complementar e aumentar os canais de informação existentes, como blogs e avisos de projetos e listas de discussão críticas, como o oss-security para públicos mais amplos”, disse o OpenSSF em sua descrição do propósito do Siren em suas diretrizes para contribuidores.
Entre os itens que o OpenSSF espera que sejam compartilhados no Siren estão táticas, técnicas e procedimentos usados por aqueles que atacam software de código aberto, além de indicadores de comprometimento associados a incidentes recentes. A Fundação não pretende que o Siren seja um local para divulgar novas falhas, mas sim que sirva como um “meio pós-divulgação para manter a comunidade informada sobre ameaças e atividades após o compartilhamento e coordenação inicial”.
As questões de segurança em software de código aberto tornaram-se cada vez mais importantes ultimamente, depois que ataques de alto perfil à cadeia de fornecimento de software, como a vulnerabilidade xz e o Log4Shell, demonstraram que falhas críticas podem estar presentes em códigos amplamente utilizados.
Mais recentemente, a OpenJS Foundation recebeu uma série de e-mails de indivíduos suspeitos que tentavam entrar nas listas de mantenedores de vários dos projetos JavaScript que ela hospeda.
Felizmente para o OpenJS, ele detectou esses e-mails suspeitos. O não tão mítico desenvolvedor de código aberto que mantém vivo um projeto crítico, por outro lado, pode não ter esses recursos. Isso pode tornar muito mais fácil para um determinado invasor da cadeia de suprimentos encontrar um ponto de entrada.
A análise anual mais recente do fornecedor de ferramentas de design de semicondutores Synopsys sobre segurança de software de código aberto considerou mais de 1.000 bases de código e descobriu que 96 por cento continham código de código aberto. Destes, 84% incluíam um componente de código aberto com pelo menos uma vulnerabilidade.
“Agora, mais do que nunca, a comunidade de código aberto precisa de uma plataforma centralizada para trocar informações sobre ameaças de forma eficiente”, disse OpenSSF. “Seja você um desenvolvedor, mantenedor ou entusiasta de segurança, sua participação é vital para proteger a integridade do software de código aberto.” ®
.
