A contribuição da Stacklok representa um avanço importante na segurança de software
A Stacklok, empresa especializada em software de cadeia de fornecimento que foi co-fundada por Craig McLuckie, um dos criadores do Kubernetes, e Luke Hinds, criador do Sigstore, anunciou uma doação significativa: o projeto Minder, considerado uma das suas iniciativas mais relevantes, está agora sob a alçada da Open Source Security Foundation (OpenSSF). Esta transição representa uma oportunidade valiosa para melhorar a segurança da cadeia de fornecimento de software, oferecendo um sistema de verificações e políticas proativas que visam mitigar riscos e garantir a adoção de melhores práticas entre as equipes de desenvolvimento.
Compreendendo o papel crucial do Minder no ecossistema de segurança
O Minder é um projeto que permite às equipes de desenvolvimento estabelecer um conjunto de checagens e políticas, utilizando a tecnologia do Sigstore para assegurar que todos os pacotes criados por desenvolvedores que utilizam a plataforma são assinados criptograficamente. Uma das características mais notáveis do Minder, conforme declarado por McLuckie, é a sua extensibilidade. Ele enfatizou que a visão da equipe da Stacklok é que o Minder possa se tornar uma plataforma que outros projetos da OpenSSF possam construir e integrar. Comparando essa potencialidade com a que o Kubernetes teve para os projetos da Cloud Native Computing Foundation (CNCF), ele acredita que o Minder pode agir como uma estrutura comum de integração que sustente um ecossistema rico de capacidades de segurança de software livre.
Por outro lado, McLuckie ressaltou um ponto que merece reflexão: a utilização de bibliotecas open source por desenvolvedores muitas vezes se assemelha a “um ato de fé”. Ele lembrou que, embora o open source seja uma prática valiosa e amplamente utilizada, ainda há uma certa falta de consciência sobre os riscos envolvidos na dependência de código escrito por indivíduos aleatórios na internet. A conscientização dos desenvolvedores sobre a segurança do software e a necessidade de práticas sustentáveis é um dos pilares no qual o Minder está baseado.
Em uma época em que a segurança da cadeia de fornecimento de software se tornou uma prioridade, especialmente após ataques notórios como o caso SolarWinds, McLuckie compartilhou um exemplo alarmante da crescente sofisticação do cibercrime. A Stacklok identificou um grupo de hackers afiliados à Coreia do Norte que organizou entrevistas de emprego falsas com desenvolvedores do setor de Web 3.0/criptomoedas. Esses desenvolvedores acabaram instalando um pacote NPM que estava infectado com malware, o que evidenciou a vulnerabilidade do processo tradicional de desenvolvimento e a facilidade com que os criminosos podem explorar essas fraquezas.
Minder: uma solução pró-ativa para a segurança ao longo do ciclo de vida do aplicativo
Para enfrentar esses desafios, o Minder foi projetado como um sistema que pode aplicar controles em todo o ciclo de vida do aplicativo, desde a IDE e o gerenciador de pacotes local do desenvolvedor, até o ambiente de produção. Ele possui a capacidade de absorver sinais de diversas fontes, sendo que a Stacklok, como entidade comercial, desenvolveu suas próprias soluções para essa tarefa. Além disso, o projeto pretende estabelecer políticas que garantam, por exemplo, que os desenvolvedores utilizem bibliotecas de criptografia resistentes a ataques quânticos.
Outro ponto de destaque é o envolvimento de gigantes da tecnologia como o Google, onde McLuckie trabalhou anteriormente. O Google demonstrou interesse na iniciativa e tem colaborado com a Stacklok em várias frentes, como na integração com a base de dados de vulnerabilidades open source. Isso ressalta que a segurança do software não é uma preocupação isolada, mas um esforço coletivo envolvendo múltiplas partes interessadas. Embora a Stacklok tenha criado integrações com o GitHub, McLuckie expressou o desejo de ver outras comunidades se unindo ao projeto, desenvolvendo integrações com plataformas como GitLab e BitBucket.
A importância da comunidade na evolução do projeto
Embora o sucesso do Minder como projeto open source possa resultar em um aumento na demanda por suporte empresarial da Stacklok, McLuckie enfatiza que a intenção é tornar o projeto realmente comunitário. Ele deixou claro que não se trata apenas de disponibilizar o código sob uma licença open source, mas sim garantir que a gestão e direção do projeto sejam compartilhadas com a comunidade. “Queremos assegurar que estamos sinalizando inequívoca e irrevogavelmente para a comunidade que o Minder é uma plataforma centrada na comunidade que não é de nossa propriedade. Na verdade, ele será de propriedade da comunidade”, afirmou McLuckie ao discutir a motivação para integrar o Minder sob a égide de uma fundação.
Uma visão otimista para o futuro do Minder
Olhar para o horizonte do Minder é vislumbrar um futuro onde soluções de segurança se tornem mainstream nas práticas de desenvolvimento. McLuckie fez uma comparação encorajadora com a trajetória do Kubernetes, que agora sustenta metade das cargas de trabalho do mundo. Ele expressou seu desejo de que, num futuro não tão distante, metade das cargas de trabalho do mundo sejam protegidas pelo Minder, o que configuraria um grande avanço em termos de segurança no campo do software open source. A jornada é desafiadora, mas o compromisso com a comunidade e a visão de um ecossistema mais seguro são pilares fundamentais que sustentam essa ambição.