Stacklok, a empresa da cadeia de suprimentos de software de código aberto fundada pelo co-criador do Kubernetes, Craig McLuckie, e pelo criador do Sigstore, Luke Hinds, está doando o Minder, um de seus principais projetos, para a Open Source Security Foundation (OpenSSF). Minder ajuda as equipes de desenvolvimento a configurar um sistema de verificações e políticas proativas para minimizar os riscos da cadeia de suprimentos, aplicando as melhores práticas e, usando o Sigstore, garante que todos os pacotes criados pelos desenvolvedores que usam o projeto sejam assinados criptograficamente.
Um dos principais recursos do Minder é que ele é extensível e, como McLuckie me disse, a equipe do Stacklok espera que o Minder possa se tornar uma plataforma para outros projetos OpenSSF desenvolverem e se integrarem.
“Assim como o Kubernetes serviu como ponto de integração para projetos CNCF, o Minder tem potencial para servir como plataforma para projetos OpenSSF: uma estrutura de integração comum para um rico ecossistema de recursos de segurança de código aberto”, ele me disse. Minder, espera ele, se tornará algo semelhante a uma âncora comunitária que pode formar a base para a integração de uma variedade de ferramentas de segurança e torná-las mais fáceis de operacionalizar.
Como observou McLuckie, na maioria das vezes, quando os desenvolvedores usam uma biblioteca de código aberto em seus projetos, isso é semelhante a “um ato de fé”.
“O que tem sido meio chocante para mim é a ideia de que o código aberto, para todos os efeitos, é basicamente escrito por pessoas aleatórias na Internet”, disse ele. “Para mim, tem sido uma jornada de como aumentar a conscientização dos desenvolvedores que estão consumindo código aberto e ajudar as comunidades que estão construindo código aberto a fazer isso de uma forma mais segura e sustentável.”
Embora a cadeia de suprimentos de software nem sempre tenha sido a prioridade dos desenvolvedores – e talvez nem mesmo da maioria dos profissionais de segurança – a SolarWinds e outros ataques recentes definitivamente a trouxeram para o primeiro plano. McLuckie citou um exemplo recente que Stacklok descobriu. Um grupo de hackers afiliado à Coreia do Norte realizou entrevistas de emprego falsas com desenvolvedores que trabalhavam no espaço Web 3.0/cripto e os fez instalar um pacote NPM como parte de seus testes de programação. Esse pacote, é claro, estava infectado com malware, e os invasores usaram isso como uma forma de entrar na cadeia de suprimentos.
“Vemos algumas das coisas mais sofisticadas surgindo desses atores do Estado-nação”, explicou McLuckie. “Seus padrões de ataque são diferentes de tudo que vimos historicamente. Eles fazem coisas como publicar um pacote por quatro horas e sabem que a maioria das ferramentas de análise de composição de software não vai detectá-lo em quatro horas. Eles vão publicá-lo e retirá-lo.”
Isso significa que ferramentas como o Minder precisam interceptar esses ataques no IDE, no ciclo interno de desenvolvimento. “Quando chegar ao (solicitação de pull), será tarde demais”, disse McLuckie.
O Minder pretende ser um sistema que pode aplicar controles em todo o ciclo de vida do aplicativo, começando no IDE e com o gerenciador de pacotes local do desenvolvedor, até o ambiente de produção. Ele pode absorver sinais de uma variedade de fontes – e a Stacklok, como entidade comercial, construiu a sua própria. Mas também pode começar a aplicar políticas para, por exemplo, garantir que os desenvolvedores comecem a usar bibliotecas de criptografia resistentes a quantum.
McLuckie destacou que o Google, seu antigo empregador, também demonstrou algum interesse neste projeto e o apoia, entre outras coisas, ajudando Stacklok a conduzir algumas integrações com serviços como o banco de dados de vulnerabilidades de código aberto. Ele também observou que, embora Stacklok tenha construído integrações com GitHub, ele adoraria ver outras comunidades construindo integrações com GitLab, BitBucket e ferramentas semelhantes.”
É claro que, para Stacklok como empresa, quanto mais bem-sucedido o Minder for como um projeto de código aberto, maior será a probabilidade de as empresas recorrerem ao Stacklok em busca de suporte ou assinarem seu serviço hospedado. No entanto, McLuckie observou que, dada a sua experiência no ecossistema de código aberto como um todo, era importante para ele não apenas disponibilizar o código sob uma licença de código aberto, mas também garantir que o projeto fosse conduzido pela comunidade.
“Queremos ter certeza de que estamos sinalizando de forma inequívoca e irrevogável para a comunidade que o Minder é uma plataforma centrada na comunidade que não pertence a nós. Na verdade, será propriedade da comunidade”, disse McLuckie quando perguntei a ele sobre a motivação para colocar Minder sob a égide de uma fundação. “Continuaremos a apoiá-lo, mas obviamente temos um plano para operacionalizar e comercializar. E acho que, tendo vivido essa jornada com o Kubernetes, me sinto muito positivo em relação aos resultados que conseguimos gerar com o Kubernetes. Tornou-se que metade das cargas de trabalho do mundo estão sendo executadas em Kubernetes, mais ou menos, neste momento. E então, você sabe, eu gostaria de chegar a um ponto em que metade das cargas de trabalho do mundo estivessem sendo protegidas pelo Minder – e eu me sentiria muito bem com isso.”
Notícias de Tecnologia:
Pesquisadores vinculam o ataque à cadeia de suprimentos do Polyfill a uma enorme rede de sites de jogos de azar imitadores
Dave Clark, ex-Amazon e Flexport, acaba de conseguir US$ 100 milhões para um novo empreendimento na cadeia de suprimentos
A grande lacuna na segurança da cadeia de fornecimento de software
Como melhorar a taxa de falhas do seu projeto de transformação digital
5 maneiras de convencer os líderes empresariais de que seu projeto de tecnologia merece financiamento
O kit de ferramentas completo para criadores de galinhas: suprimentos vitais