Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Para evitar um novo Heartbleed, grupo conserta falhas em open source

12/02/2015

Um grupo criado no ano passado para identificar projetos open source que necessitam de ajuda extra para corrigir falhas e vulnerabilidades está passando a limpo a lista de candidatos a receber ajuda para acelerar o trabalho. O grupo, chamado Core Infrastructure Initiative (CII), tem como objetivo principal evitar um novo Heartbleed e é coordenado pela Linux Foundation.

No ano passado, uma falha de segurança na biblioteca de software de criptografia OpenSSL, largamente usada na web, causou caos no mercado, exigindo que empresas de todos os tipos e áreas, incluindo grandes empresas de internet, corrigissem rapidamente as vulnerabilidades sob pena de ataques maliciosos.

Por conta do uso em larga escala do OpenSSL, a falha Heartbleed é considerada ainda um risco grande, já que é possível que muitos sites com código mais antigo ainda estejam sem a correção.

Ação contra falhas

Após o Heartbleed, o CII foi criado, com investimentos de várias empresas de software, para listar os projetos de código aberto no mercado e identificar os que mais urgentemente precisariam de correções e, portanto, receberiam ajuda tecnológica e recursos financeiros.

Segundo o diretor executivo da Linux Foundation, Jim Zemlin, o grupo agora está trabalhando numa lista mais enxuta para selecionar o que vai ser endereçado e otimizar os recursos.

As empresas estão "profundamente preocupadas" sobre onde um novo Heartbleed poderá aparecer, diz Zemlin, a ponto de "CEOs perderem seus empregos por causa disso".

O CII vai gastar 2 milhões de dólares por ano, nos próximos três anos, suportando projetos open source que, por falta de recursos, poderiam continuar em atividade sem a verificação rigorosa da segurança do seu código.

500 mil linhas

O OpenSSL e suas 500 mil linhas de código foi o primeiro alvo do escrutínio do grupo, claro, mas o CII também ficou de olho em projetos como o SSH (Secure Shell), NTP (Network Time Protocol) e GNU Privacy Guard (GnuPG). Este último, usado para criptografia de pacotes de email e pacotes de assinatura digital, foi colocado sob holofotes na semana passada num artigo da ProPublica por ser considerado um projeto crítico de open source que carece de recursos.

Depois do artigo, seu desenvolvedor, o alemão Werner Koch recebeu cerca de 137 mil dólares em doações para continuar seu trabalho, além da promessa de receber 50 mil dólares por ano do Facebook e também da empresa de processamento de pagamentos eletrônicos Stripes. O CII também garantiu a doação de 60 mil dólares para os ajustes.

O desafio agora, segundo Zemlin, é identificar o novo lote de projetos. É uma tarefa complexa que avalia fatores como a dependência entre programas e como um componente pode afetar o outro. O CII também precisa distribuir cuidadosamente seus recursos financeiros, mesmo sabendo que ao gastar alguns milhares de dólares numa correção estará gerando uma economia gigantesca para o mercado, diz Zemlin.

Site: Computerworld
Data: 11/02/2015
Hora: 17h52
Seção: Segurança
Autor: ------
Link: http://computerworld.com.br/seguranca/2015/02/11/para-evitar-um-novo-heartbleed-grupo-conserta-falhas-em-open-source/

Comentários

Faça Login para comentar