Segurança
Bug na Log4j destaca desafio e necessidade de financiar projetos de código aberto
Devs envolvidos na corrida para desenvolver um patch para biblioteca eram voluntários não remunerados, segundo siteBy - Liliane Nakagawa, 17 dezembro 2021 às 20:32
Desde que foi descoberta, o mundo da segurança cibernética tem se esforçado para identificar aplicações vulneráveis, detectar ataques e mitigar contra exploits possíveis à Log4j — segundo uma empresa de segurança cibernética, em quase metade das redes corporativas monitoradas houve tentativas de explorar a vulnerabilidade. Apesar do cenário crítico diante de um bug zero-day, a exploração à Log4j destaca, por outro lado, o desafio e a necessidade de financiar adequadamente projetos de código aberto.
Parte dessa lembrança, que repete praticamente o mesmo enredo, foi a vulnerabilidade Heartbleed, que nada tinha a ver com algum álbum de thrash metal, mas causada por um bug em uma biblioteca de código aberto amplamente utilizada. A falha de segurança no OpenSSL afetava diretamente dois terços dos sites existentes na internet, as quais usavam a tecnologia OpenSSL para implementar protocolos criptográficos que garantiam conexão da comunicação on-line.
Praticamente oito anos depois, apesar de empresas como Google e Facebook não terem sido afetadas pelo Heartbleed, essas se comprometeram a investir colocando mais dinheiro em projetos de código aberto que eram críticos para a infraestrutura da internet. Em outubro, o Google anunciou o apoio de US$ 1 milhão ao programa piloto da Linux Foundation, a qual recompensava financeiramente devs por aumentarem a segurança de projetos críticos.
Imagem: @receptynakazhdyjden
Mesmo assim, o caso da vulnerabilidade do Log4j ainda continua a ser “uma tempestade quase perfeita” em 2021, reforçando ainda mais a necessidade de se financiar projetos de código aberto. E apesar dessas empresas de tecnologia anunciarem investimentos e o Java ser uma linguagem antiga e sabidamente de uso global em aplicativos empresariais, no início da semana, a Bloomberg informou que muitos dos desenvolvedores envolvidos na corrida para desenvolver um patch para a biblioteca Log4j eram voluntários não remunerados.
Infelizmente, mesmo com voluntariado e atitudes rápidas, como das empresas Cloudflare e ExpressVPN, dada a gravidade, alguns sistemas ainda serão comprometidos, mesmo com correções rápidas pode levar algum tempo para que todos os efeitos sejam plenamente sentidos. “Dentro de dois anos, ouviremos falar de grandes brechas e, posteriormente, saberemos que elas foram violadas há dois anos”, diz Clayton sobre o Log4Shell em entrevista ao The Verge.
Comentários