Director Linux Foundation Jim Zemlin Executivo acha que o mundo da segurança da informação precisa de menos cirurgiões e mais treinadores pessoais, e ele está colocando o dinheiro de sua organização onde sua boca está.
Falando na Linux Foundation Collaboration Summit deste ano, um evento apenas para convidados ocorrendo esta semana em Santa Rosa, Califórnia, Zemlin fez uma pausa em sua habitual Linux e cheerleading open source de salientar que a comunidade open source tem de fazer mais para tratar da segurança .
No ano passado, a vulnerabilidade "Heartbleed" na biblioteca de criptografia OpenSSL, Zemlin disse, foi a chamada wake-up - e foi só o começo.
"Houve uma variedade de ataques de alto perfil provenientes de projetos de código aberto que resultaram em reais, verdadeiros problemas", disse Zemlin. "Centenas de milhões de dólares em problemas para corrigir estas vulnerabilidades ... perda real, nos casos em que essas vulnerabilidades foram exploradas."
Normalmente, a comunidade aborda essas questões a forma como um cirurgião: identificar o problema, operacional para remediá-los, e, em seguida, passar para a próxima crise. Uma abordagem melhor, Zemlin disse, seria atacar a segurança mais como um personal trainer.
"A personal trainer é doloroso e eles fedem para trabalhar, dia após dia, mas, basicamente, mantê-lo saudável para que você não ir ao médico em primeiro lugar", disse Zemlin.
Essa é a abordagem da Fundação Linux está tomando com a Iniciativa de Infra-estrutura Central (CII), um esforço que foi lançado no ano passado especificamente para tratar Heartbleed mas também para lidar com as questões de segurança em outros projetos de código aberto que são fundamentais para o bem-estar global da internet.
Desde a sua criação, 20 grandes empresas de tecnologia assinaram contrato para participar de CII, incluindo Amazon, Cisco, Google, HP, IBM, Intel e Microsoft, entre outros. A iniciativa também conta com um conselho consultivo que se lê como um quem-é-quem de luminares de código aberto.
Uma das principais formas que CII aborda o problema de segurança é simplesmente fornecendo o financiamento para os desenvolvedores que criam e mantêm a Critical Software de código aberto.
No início deste mês, o GNU Privacy Guard desenvolvedor Werner Koch revelou que ele tinha vindo a manter o projeto em torno de US $ 25.000 por ano, e que, sem financiamento adicional teria de abandoná-la. Ele é praticamente sozinho.
Zemlin disse que, até recentemente, Harlan Stenn, mantenedor do Network Time Protocol daemon (NTPD) - essencialmente, o relógio da internet - também foi ganhando cerca de US $ 25.000 por ano. A Fundação OpenSSL, por outro lado, estava levantando menos de US $ 2.000 por ano.
Eyeballs? O que os globos oculares?
Zemlin argumentou que a comunidade de código aberto - e na internet em geral - não pode dar ao luxo de perder os desenvolvedores como estes por causa da falta de fundos. No mundo open source, é uma máxima oft-declarou que "dadas olhos suficientes, todos os erros são triviais." Mas muitas vezes os "olhos" simplesmente não estão lá. No caso do OpenSSL, por exemplo, o que fundos limitados estavam disponíveis foi principalmente a dois desenvolvedores, Steve Henson e Steve Marquês.
"Globos oculares não é suficiente? Não há globos oculares aqui", disse Zemlin. "Dois caras chamado Steve, e eu ouvi que eles também têm um cão muito agradável. O cão não estava fazendo a revisão do código."
Desde identificar este problema, CII forneceu bolsas para dois desenvolvedores para trabalhar em OpenSSL em tempo integral, além de oferecer financiamento para vários projetos de código aberto outro núcleo.
Mas um pouco de seu dinheiro também vai para trabalhar com empresas externas para realizar auditorias de código independentes de projetos de código aberto - em essência, a criação de globos oculares, onde antes não havia nenhuma. Uma auditoria de todos os 500 mil linhas de código OpenSSL está em curso desde janeiro, disse Zemlin.
CII também está trabalhando para desenvolver um conjunto de melhores práticas de segurança que os mantenedores de projetos de código aberto pode usar para garantir que eles estão escrevendo código seguro para começar.
E isso também está realizando um censo de grandes projetos de código aberto para identificar quais os que podem ser a fonte do próximo Heartbleed, prestando especial atenção aos projectos que são amplamente utilizados, mas que são muito antiga, muito complexa, ou têm poucos desenvolvedores mantendo-los.
É aí que a comunidade em geral pode ajudar, disse Zemlin. Por um lado, se há outras peças de infra-estrutura de internet crítico que não estão recebendo a atenção de que necessitam, a Linux Foundation gostaria de ouvir sobre isso.
"Temos recursos para fornecer", disse Zemlin. "Nós estamos olhando para ajudar."
Igualmente importante, Zemlin disse, ele gostaria de ver mais empresas interessadas adesão à iniciativa Infraestrutura Básica para ajudar na luta - e, especialmente, para ajudar a financiá-lo, porque os recursos da CII estão longe de ser infinito.
"Nós já levantou cerca de US $ 6 milhões em três anos. $ 2ma ano", disse Zemlin. "Eu posso te dizer agora: Parece que um monte de dinheiro não é suficiente Não é dinheiro suficiente para sair e fazer todas as coisas que eu descrevi hoje e fazê-las bem..." ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário