Harvard identifica os pacotes de código aberto mais usados

Os investigadores esperam que, ao tornar conhecidos os pacotes de código aberto mais amplamente utilizados, possam ajudar a impedir que a próxima exploração de Log4j ou Heartbleed ocorra.

Por Scott Carey

Investigadores do Laboratório de Ciências da Inovação da Universidade de Harvard (LISH) lançaram o mais abrangente recenseamento de open source e open source package (FOSS) até à data, com o objetivo de ajudar a indústria a proteger-se melhor contra vulnerabilidades de alto perfil, como Heartbleed e Log4shell, que afetaram projetos populares de open source.

O recenseamento surge numa altura em que a indústria tecnológica está a ser forçada a enfrentar os riscos colocados pela utilização generalizada da tecnologia de código aberto em aplicações críticas empresariais e do setor público.

A investigação centra-se em pacotes de software ao nível da biblioteca de aplicações, agregando dados de mais de meio milhão de observações de bibliotecas de código aberto usadas em aplicações de produção em milhares de empresas até 2020.

“O software gratuito tornou-se uma parte fundamental da economia moderna. Existem dezenas de milhões de projetos de código aberto, muitos dos quais são incorporados em programas e produtos que usamos todos os dias. No entanto, é difícil compreender plenamente a saúde, o valor económico e a segurança do FOSS porque é produzido de forma descentralizada e distribuída”, indicam os autores do recenseamento no seu relatório.

O que está no relatório?

O recenseamento está dividido em oito listas classificadas. Quatro incluem números de versão e quatro são independentes da versão. Os pacotes que utilizam o gestor de pacotes NPM JavaScript predefinido foram separados dos que não são NPM.

Existem também listas separadas para pacotes que são chamados diretamente pelos programadores, contra aqueles que são chamados indiretamente como dependências, que chama a atenção para tipos de dependência mais profundos que são mais difíceis de observar para os programadores nos seus ambientes de pacote.

Estas listas “representam a nossa melhor estimativa dos pacotes de código aberto mais utilizados para diferentes aplicações, tendo em conta os dados extensos, mas não exaustivos, e as restrições de tempo que agregamos”, diz o relatório.

Embora o recenseamento não tente identificar os projetos de OSS mais arriscados, observa que “medir perfis de risco é uma tarefa separável, e é mais fácil de fazer uma vez identificado o software mais utilizado”. Este trabalho exigirá um esforço intersetorial e dependerá do perfil de risco individual da organização de consumidores.

Para organizações que já começaram a construir os seus BOM de software, estes BOM podem fornecer uma referência útil a que os pacotes de código aberto são os mais comuns e começar a dedicar recursos para garantir que estes projetos são seguros.

Como evitar o próximo Log4j

Os investigadores esperam que, ao divulgarem os pacotes de código aberto mais utilizados, possam ajudar a prevenir a próxima exploração de Log4j ou Heartbleed.

“Esperamos que o próximo Log4j esteja na nossa lista e chegamos lá antes que os graves problemas cheguem”, disse Frank Nagle, autor do relatório e professor adjunto na Harvard Business School.

Os autores do relatório esperam que a identificação de “pacotes FOSS críticos” possa ajudar os programadores e utilizadores finais a partilharem dados, investirem e coordenarem esforços para proteger os principais projetos de código aberto, que são frequentemente mantidos por pequenos grupos de programadores voluntários.

Em 2014, após a descoberta do bug Heartbleed, a Fundação Linux fundou a Core Infrastructure Initiative (IIC) numa tentativa de proporcionar um melhor financiamento e apoio a projetos críticos do FOSS, especificamente pagando aos suportes e identificando projetos críticos e estabelecendo a segurança de melhores práticas. Em 2020, muitos destes esforços foram integrados na recém-criada Open Source Security Foundation (OpenSSF), que apoiou este projeto de investigação.

A segurança de código aberto é uma questão que chamou a atenção dos governos de todo o mundo. A Casa Branca realizou recentemente reuniões com representantes dos setores público e privado para discutir o assunto. O objetivo desta reunião era discutir como prevenir falhas de segurança e vulnerabilidades em códigos e pacotes open source, melhorar o processo de localização e fixação de vulnerabilidades, e diminuir o tempo de resposta para corrigir problemas.

Em 2014, a Comissão Europeia lançou a sua própria estratégia de software gratuito e alguns anos mais tarde começou a patrocinar auditorias gratuitas de software, criando programas de recompensas por bugs, hackathons e conferências.

Outras lições aprendidas

O relatório faz também cinco observações gerais sobre o estado de utilização corporativa de software de código aberto hoje em dia. Estes são:

  • É necessário um esquema de nomeação mais normalizado para os componentes do software.
  • Existem ainda grandes complexidades associadas a pacotes de versões.
  • Grande parte do software gratuito mais utilizado é desenvolvido por apenas um punhado de colaboradores.
  • A segurança das contas individuais dos programadores está a tornar-se cada vez mais importante.
  • O software legado no espaço open source persiste.

“Longe de ser a última palavra em projetos críticos de código aberto, este esforço de recenseamento representa o início de um debate mais alargado sobre como identificar pacotes vitais e garantir que recebem recursos e apoio adequados”, conclui o relatório.




Deixe um comentário

O seu email não será publicado