🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O mito é real. Sei que grande parte da indústria pensa que é um golpe de marketing e entendo por quê. Entendo. Mas eu vi as descobertas e elas são ruins. Não são "opa, esta linha aqui está errada e isso é RCE". São novas combinações de algumas dezenas de problemas dentre milhares de coisas que todo scanner SAST já encontra, encadeados em algo muito pior. É a verdadeira criatividade, como o Move 37. Esse não é um scanner melhor. Essa é uma categoria diferente de ameaça.
De certa forma, isso nem importa. Mesmo que este modelo específico fosse uma farsa, a capacidade virá de qualquer maneira. Alguns dias, gostaria que fosse uma farsa. Teríamos mais tempo. Mas você pode acreditar em mim ou não. O resto deste post é sobre o que fazemos de qualquer maneira, e estou começando agora.
Washington vem acompanhando isso há algum tempo, mas não é possível regular algo que a maior parte da indústria pensa ser inventado. Agora que todas as salas de reuniões estão em modo de preparação (e estão), a DC finalmente começa a pensar em quais etapas podem tomar. Está claro que eles precisam desempenhar um papel, mas não está claro como ou qual deveria ser. E eles estão em uma situação muito difícil.
Regulamente muito pouco e corre-se o risco de uma empresa sediada nos EUA criar acidentalmente uma arma que põe em risco a nossa infra-estrutura crítica. Regulamente demais, e a mesma coisa acontece na China. A coisa toda parece uma pesquisa de ganho de função sobre vírus. Todo mundo sabe que você deve lavar as mãos antes de sair do laboratório, mas só porque tornamos isso obrigatório não significa que o resto do mundo o fará. Já vimos como essa história se desenrola em Wuhan.
Aqui está o problema estrutural que limita o que qualquer governo pode fazer: apesar das melhores tentativas da Europa com o CRA, o código aberto não é governável. Leis e ordens executivas não se aplicam a pessoas ao redor do mundo que colocam coisas na Internet gratuitamente. Os EUA estão conscientes disso, por isso estão a concentrar-se onde podem e onde devem: no consumo. Esse é o instinto certo e é exatamente para onde vai o resto deste post.
O ecossistema de código aberto e o modelo de consumo não estão prontos para isso
Tenho trabalhado nesse problema todos os dias da minha vida durante a última década. Ajudei a fundar o OpenSSF e o Alpha-Omega enquanto estava no Google. Criei o Sigstore, Scorecards e os primeiros scanners de malware de código aberto. Financiei as doações que colocaram Rust no kernel Linux e MFA no PyPI. Então comecei a Chainguard para fazer tudo isso comercialmente, em grande escala. Estou lhe contando tudo isso não para se gabar, mas porque preciso que você acredite em mim quando digo: a maneira como o mundo consome software de código aberto está fundamentalmente quebrada e nenhuma melhoria incremental irá consertar isso a tempo.
Não em sua forma atual. Talvez nunca. Isso terá que mudar.
A maioria das empresas consome código aberto gratuitamente há anos, sem realmente pensar nisso. Os aplicativos modernos são camadas de dependências e, quando algo dá errado em uma delas, a correção pode ocorrer em cascata por uma pilha inteira. Para grandes organizações com bases de código legadas, isso não é uma solução vespertina. E agir rapidamente tem agora os seus próprios riscos. A IA também potencializou os ataques à cadeia de suprimentos. Apresse-se para corrigir uma vulnerabilidade sem uma análise cuidadosa e você poderá instalar um malware pior que o problema original.
O lado do mantenedor é ainda mais difícil. Especialmente para o grande número de mantenedores que se preocupam e querem ajudar. Muitos não o fazem, e está tudo bem. Eles não devem nada aos seus downstreams. Alguns dos softwares mais críticos da Internet são mantidos por uma ou duas pessoas em seu tempo livre. Scanners automatizados e relatórios gerados por IA já os enterram em ruídos de baixa qualidade há anos. E, diferentemente do software comercial, os mantenedores de código aberto não possuem contratos ou SLAs. Não há garantia de que um patch seja escrito, mesclado ou que a pessoa esteja acessível.
A divulgação coordenada de vulnerabilidades foi projetada para um mundo onde encontrar uma vulnerabilidade grave exigia semanas de trabalho especializado e os alvos eram um pequeno conjunto de projetos bem conhecidos. Um modelo agora pode encontrar centenas durante a noite na cauda longa. O sistema existente não vai acompanhar e todos nós precisamos de um plano de backup para as vulnerabilidades que não são corrigidas.
O que realmente precisa acontecer
Precisamos de um plano A e de um plano B.
Plano A: divulgação coordenada que realmente funcione em grande escala. Um grupo único e confiável que encaminha relatórios totalmente verificados e patches upstream e oferece suporte aos mantenedores que desejam ajuda. Nem uma dúzia de grupos concorrentes preenchendo multas barulhentas. Um esforço coordenado que os mantenedores reconhecem e confiam, para que seus relatórios apareçam no topo de cada caixa de entrada. No momento, a Glasswing conseguiu transferir cerca de 6% de suas descobertas. Este programa nunca chegará a 100%. Não é assim que funciona a longa cauda do código aberto. Meu melhor palpite é que w
De certa forma, isso nem importa. Mesmo que este modelo específico fosse uma farsa, a capacidade virá de qualquer maneira. Alguns dias, gostaria que fosse uma farsa. Teríamos mais tempo. Mas você pode acreditar em mim ou não. O resto deste post é sobre o que fazemos de qualquer maneira, e estou começando agora.
Washington vem acompanhando isso há algum tempo, mas não é possível regular algo que a maior parte da indústria pensa ser inventado. Agora que todas as salas de reuniões estão em modo de preparação (e estão), a DC finalmente começa a pensar em quais etapas podem tomar. Está claro que eles precisam desempenhar um papel, mas não está claro como ou qual deveria ser. E eles estão em uma situação muito difícil.
Regulamente muito pouco e corre-se o risco de uma empresa sediada nos EUA criar acidentalmente uma arma que põe em risco a nossa infra-estrutura crítica. Regulamente demais, e a mesma coisa acontece na China. A coisa toda parece uma pesquisa de ganho de função sobre vírus. Todo mundo sabe que você deve lavar as mãos antes de sair do laboratório, mas só porque tornamos isso obrigatório não significa que o resto do mundo o fará. Já vimos como essa história se desenrola em Wuhan.
Aqui está o problema estrutural que limita o que qualquer governo pode fazer: apesar das melhores tentativas da Europa com o CRA, o código aberto não é governável. Leis e ordens executivas não se aplicam a pessoas ao redor do mundo que colocam coisas na Internet gratuitamente. Os EUA estão conscientes disso, por isso estão a concentrar-se onde podem e onde devem: no consumo. Esse é o instinto certo e é exatamente para onde vai o resto deste post.
O ecossistema de código aberto e o modelo de consumo não estão prontos para isso
Tenho trabalhado nesse problema todos os dias da minha vida durante a última década. Ajudei a fundar o OpenSSF e o Alpha-Omega enquanto estava no Google. Criei o Sigstore, Scorecards e os primeiros scanners de malware de código aberto. Financiei as doações que colocaram Rust no kernel Linux e MFA no PyPI. Então comecei a Chainguard para fazer tudo isso comercialmente, em grande escala. Estou lhe contando tudo isso não para se gabar, mas porque preciso que você acredite em mim quando digo: a maneira como o mundo consome software de código aberto está fundamentalmente quebrada e nenhuma melhoria incremental irá consertar isso a tempo.
Não em sua forma atual. Talvez nunca. Isso terá que mudar.
A maioria das empresas consome código aberto gratuitamente há anos, sem realmente pensar nisso. Os aplicativos modernos são camadas de dependências e, quando algo dá errado em uma delas, a correção pode ocorrer em cascata por uma pilha inteira. Para grandes organizações com bases de código legadas, isso não é uma solução vespertina. E agir rapidamente tem agora os seus próprios riscos. A IA também potencializou os ataques à cadeia de suprimentos. Apresse-se para corrigir uma vulnerabilidade sem uma análise cuidadosa e você poderá instalar um malware pior que o problema original.
O lado do mantenedor é ainda mais difícil. Especialmente para o grande número de mantenedores que se preocupam e querem ajudar. Muitos não o fazem, e está tudo bem. Eles não devem nada aos seus downstreams. Alguns dos softwares mais críticos da Internet são mantidos por uma ou duas pessoas em seu tempo livre. Scanners automatizados e relatórios gerados por IA já os enterram em ruídos de baixa qualidade há anos. E, diferentemente do software comercial, os mantenedores de código aberto não possuem contratos ou SLAs. Não há garantia de que um patch seja escrito, mesclado ou que a pessoa esteja acessível.
A divulgação coordenada de vulnerabilidades foi projetada para um mundo onde encontrar uma vulnerabilidade grave exigia semanas de trabalho especializado e os alvos eram um pequeno conjunto de projetos bem conhecidos. Um modelo agora pode encontrar centenas durante a noite na cauda longa. O sistema existente não vai acompanhar e todos nós precisamos de um plano de backup para as vulnerabilidades que não são corrigidas.
O que realmente precisa acontecer
Precisamos de um plano A e de um plano B.
Plano A: divulgação coordenada que realmente funcione em grande escala. Um grupo único e confiável que encaminha relatórios totalmente verificados e patches upstream e oferece suporte aos mantenedores que desejam ajuda. Nem uma dúzia de grupos concorrentes preenchendo multas barulhentas. Um esforço coordenado que os mantenedores reconhecem e confiam, para que seus relatórios apareçam no topo de cada caixa de entrada. No momento, a Glasswing conseguiu transferir cerca de 6% de suas descobertas. Este programa nunca chegará a 100%. Não é assim que funciona a longa cauda do código aberto. Meu melhor palpite é que w
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #garfo #mais #difícil
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário