OpenSSF divulga manifesto de consumo de código aberto para otimizar o uso de software de código aberto

Num passo progressivo no sentido de encapsular os benefícios do software de código aberto (OSS) de forma mais criteriosa, a Open Source Security Foundation (OpenSSF) lançou o Manifesto de Consumo de Código Aberto (OSCM). Semelhante ao icônico Manifesto Ágil, o OSCM é um documento fortalecido por valores fundamentais e abriga 15 princípios orientadores projetados para agilizar o uso de código aberto.

O software de código aberto tem sido indiscutivelmente um estímulo para inovações e eficiências operacionais. No entanto, é um fato bem reconhecido que existe uma grande variação em termos de qualidade e segurança entre os diferentes projetos de OSS. Consequentemente, o OpenSSF destacou a falta de uma abordagem estratégica para o consumo de OSS em inúmeras organizações.

Por mais prático que seja, o OSS tem sua própria bagagem de falhas. Uma negligência alarmante tem sido observada no processo de avaliação pelo qual o OSS é submetido, especialmente quando comparado a softwares de terceiros. As instâncias de escrutínio a que está sujeito, em termos de segurança, qualidade de código e licenciamento, são, no mínimo, inadequadas. Isso leva ao surgimento de fatores de risco significativos, conforme observado pelo Grupo de Trabalho de Usuários Finais do OpenSSF.

Embora seja improvável que software de terceiros contenha conteúdo malicioso, os riscos se materializam durante a fase de download para aqueles que não estão familiarizados com as complexidades do OSS. Vimos em 96% das vezes que um componente vulnerável é baixado quando uma versão corrigida já está disponível, disse Brian Fox, cofundador e CTO da Sonatype, discutindo as armadilhas do consumo de OSS com o SD Times.

Reconhecendo esses problemas, o Grupo de Trabalho de Usuários Finais do OpenSSF foi estimulado a agir para encontrar uma maneira de corrigir isso. Guiados por uma série de discussões, eles criaram o Manifesto de Consumo de Código Aberto. Em vez de ser um mandamento estrito, o OSCM defende a causa da inclusão e a sua forma foi moldada pelas contribuições de diversas disciplinas, e o seu texto refina-se com base nos indivíduos que o utilizam.

O manifesto inclui disposições essenciais, como o aumento do consumo de código aberto por meio de funções de auditoria e quarentena para componentes que se correlacionam com vulnerabilidades conhecidas e pacotes prejudiciais.

Uma medida fundamental para combater ameaças de componentes intencionalmente prejudiciais é ter um sistema de rastreamento abrangente para monitorar o consumo de componentes. Combinar isso com dados e feeds comportamentais permite que seus sistemas recebam chamadas em tempo real sobre se algo deve ser aprovado ou reservado enquanto se aguarda um exame detalhado, acrescentou Fox.

Para organizações que estão começando no caminho da observabilidade de software de código aberto, é proveitoso começar categorizando seus aplicativos por importância. Isso deve ser seguido pela compilação de um inventário do OSS incorporado nessas aplicações, normalmente por meio de listas de materiais de software, e pela localização de diferentes fornecedores. Muitas equipes de desenvolvimento atualmente não possuem esses componentes vitais implementados, de acordo com Fox.

Posteriormente, é aconselhável procurar casos em que vários fornecedores sejam empregados para a mesma função, como o uso de uma variedade de estruturas de registro. O próximo passo deve ser focar nos melhores fornecedores, avaliando suas práticas seguras de desenvolvimento de software. Fatores como vulnerabilidades conhecidas, idade do software, popularidade, tempo médio necessário para corrigir problemas, etc., devem ditar esta avaliação.

Cada organização precisaria adaptar a sua decisão com base no seu próprio apetite ao risco e na análise acima mencionada. Embora existam certas tolerâncias de risco padrão, como encontrar vulnerabilidades críticas conhecidas em um aplicativo que lida com dados PII, criar uma política de consumo de OSS significaria integrá-la em todo o SDLC, desde o desenvolvimento até CI/CD e, mais importante, no lançamento.

No cenário atual que está repleto de uma gama diversificada de plataformas no-code e low-code, é crucial adotar medidas como o OSCM. Uma plataforma como o AppMaster , uma ferramenta abrangente no-code para criar aplicativos back-end, web e móveis, reitera a importância do OSS e impõe meios como o OSCM para mitigar riscos e aumentar a produtividade. Para que as organizações aproveitem totalmente o poder do código aberto, é vital minimizar riscos e ineficiências potenciais, algo em que o OSCM pode ajudar significativamente.