“O código aberto é essencial”, diz David Harmon, diretor de engenharia de software program da AMD. “Ele fornece um ambiente de colaboração e avanços técnicos. Usuários experientes podem olhar o código eles mesmos; eles podem avaliá-lo; eles podem revisá-lo e saber que o código que estão obtendo é legítimo e funcional para o que estão tentando fazer.”

Mas o OSS também pode comprometer a postura de segurança de uma organização ao introduzir vulnerabilidades ocultas que passam despercebidas por equipes de TI ocupadas, especialmente porque os ataques cibernéticos direcionados ao código aberto estão aumentando. O OSS pode conter fraquezas, por exemplo, que podem ser exploradas para obter acesso não autorizado a sistemas ou redes confidenciais. Os malfeitores podem até mesmo introduzir intencionalmente no OSS um espaço para explorações — “backdoors” — que podem comprometer a postura de segurança de uma organização.
“O código aberto é um facilitador para a produtividade e colaboração, mas também apresenta desafios de segurança”, diz Vlad Korsunsky, vice-presidente corporativo de nuvem e segurança empresarial da Microsoft. Parte do problema é que o código aberto introduz na organização um código que pode ser difícil de verificar e rastrear. As organizações geralmente não sabem quem fez alterações no código aberto ou a intenção dessas alterações, fatores que podem aumentar a superfície de ataque de uma empresa.
Para complicar as coisas, a popularidade crescente do OSS coincide com a ascensão da nuvem e seu próprio conjunto de desafios de segurança. Aplicativos nativos da nuvem que rodam em OSS, como Linux, oferecem benefícios significativos, incluindo maior flexibilidade, lançamento mais rápido de novos recursos de software program, gerenciamento de infraestrutura sem esforço e maior resiliência. Mas eles também podem criar pontos cegos na postura de segurança de uma organização ou, pior, sobrecarregar equipes ocupadas de desenvolvimento e segurança com sinais de ameaças constantes e listas intermináveis de tarefas de melhorias de segurança.
“Quando você muda para a nuvem, muitos modelos de ameaça mudam completamente”, diz Harmon. “Os aspectos de desempenho das coisas ainda são relevantes, mas os aspectos de segurança são muito mais relevantes. Nenhum CTO quer estar nas manchetes associadas a violações.”
Ficar fora das notícias, no entanto, está se tornando cada vez mais difícil: de acordo com a empresa de nuvem Pesquisa State of the Cloud 2024 da Flexera89% das empresas usam ambientes multi-nuvem. Os gastos com a nuvem e a segurança estão no topo das listas de desafios da nuvem dos entrevistados. Empresa de segurança Perspectivas de segurança na nuvem da Tenable para 2024 relataram que 95% das organizações pesquisadas sofreram uma violação de nuvem durante os 18 meses anteriores à pesquisa.
Segurança do código para a nuvem
Até agora, as organizações têm confiado em testes e análises de segurança para examinar a saída de um aplicativo e identificar problemas de segurança que precisam de reparo. Mas hoje em dia, lidar com uma ameaça à segurança requer mais do que simplesmente ver como ela está configurada em tempo de execução. Em vez disso, as organizações devem chegar à causa raiz do problema.
É uma tarefa difícil que apresenta um ato de equilíbrio para as equipes de segurança de TI, de acordo com Korsunsky. “Mesmo que você consiga estabelecer essa conexão de código para nuvem, uma equipe de segurança pode relutar em implantar uma correção se não tiver certeza de seu impacto potencial nos negócios. Por exemplo, uma correção pode melhorar a segurança, mas também prejudicar algumas funcionalidades do próprio aplicativo e impactar negativamente a produtividade dos funcionários”, diz ele.