[ad_1]
Uma série de incidentes de “sabotagem” em device de código aberto estão reacendendo as discussões sobre como proteger projetos que sustentam plataformas e redes digitais em todo o mundo. Muitos dos incidentes recentes foram apelidados de “protesware” porque se relacionam com desenvolvedores de código aberto fazendo alterações de código para expressar apoio à Ucrânia em meio à invasão da Rússia e ao ataque contínuo ao país.
Em alguns casos, o device de código aberto foi modificado para exibir sobreposições anti-guerra ou outras mensagens de solidariedade com a Ucrânia. Em pelo menos um caso, porém, um pacote de device fashionable foi modificado para implantar um limpador de dados malicioso em computadores russos e bielorrussos. Essa onda de protestos em código aberto ocorre apenas alguns meses após um incidente aparentemente não relacionado no qual um mantenedor sabotou dois de seus projetos de código aberto amplamente utilizados de aparente frustração decorrente de se sentir sobrecarregado e subcompensado.
Os incidentes foram relativamente contidos até agora, mas ameaçam abalar ainda mais a confiança no ecossistema, assim como a indústria de tecnologia se esforça para resolver outros problemas de segurança da cadeia de suprimentos de device ligados ao código aberto. E embora o suporte financeiro, as promessas de ferramentas automatizadas e a atenção da Casa Branca sejam bem-vindos, a comunidade de código aberto precisa de ajuda mais robusta e sustentada.
Em um declaração Na quinta-feira, a Open Supply Initiative, que denunciou categoricamente a guerra da Rússia na Ucrânia, se manifestou contra o protestware destrutivo, implorando aos membros da comunidade que encontrem maneiras criativas e alternativas de usar suas posições como mantenedores para se opor à guerra.
“As desvantagens de vandalizar projetos de código aberto superam em muito qualquer benefício possível, e o retrocesso acabará por prejudicar os projetos e colaboradores responsáveis”, escreveu o grupo. “Por extensão, todo o código aberto é prejudicado. Use seu poder, sim, mas use-o com sabedoria.”
O device de código aberto é gratuito para qualquer pessoa usar, portanto, as ferramentas e os programas são incorporados a tudo, desde projetos independentes até device de consumidor proprietário e mainstream. Ninguém quer perder pace escrevendo e testando um componente do 0 quando poderia simplesmente conectar e reproduzir uma versão pronta. Isso significa, porém, que todos os tipos de device dependem de projetos que são mantidos por um ou poucos voluntários – ou projetos que não são mais mantidos.
Um benefício há muito elogiado do device de código aberto é que ele tem o potencial de ser tão seguro quanto, ou mais seguro, que o código proprietário, porque está aberto à verificação independente. A ideia é que muitos olhos geram poucos insetos. Na prática, porém, essa proteção tem limitações precisamente porque muitas vezes não há muitos olhos disponíveis. A questão da sabotagem, no entanto, atinge o cerne da premissa do código aberto como um espaço descentralizado e não federado.
“Não há nada realmente em vigor, sistemicamente, para impedir que incidentes de sabotagem interna aconteçam com mais frequência”, diz Dan Lorenc, pesquisador da cadeia de suprimentos de device de código aberto e fundador da empresa de segurança ChainGuard. “Os projetos constroem uma reputação ao longo do pace, e as pessoas que geralmente usam pseudônimos passam a confiar nas identidades digitais umas das outras por causa do trabalho que fizeram. Não há uma lista world de aprovadores, e cada projeto tem uma cultura diferente de como você se torna um aprovador”, ou um desenvolvedor com poderes para aprovar e publicar alterações de código.
.
[ad_2]
Fonte da Notícia
