Hoje, Aikido a Root. 🚀
O código aberto está na base de quase todas as aplicações do mundo e tornou-se o principal ponto de entrada para os atacantes. A cadeia de abastecimento de software está sob ataque. (blá blá blá, meme de gato a acordar para mais um ataque à cadeia de abastecimento)
Os atacantes também estão a tornar-se mais rápidos. A IA está a tornar mais barato explorar vulnerabilidades conhecidas antes que a maioria das equipas tenha oportunidade de as corrigir. Quase um terço das vulnerabilidades conhecidas são exploradas no próprio dia em que são divulgadas ou antes disso. Entretanto, o nosso velho conhecido Log4Shell, descoberto em 2021, continua a funcionar em milhões de sistemas de produção até hoje.
Mas a maioria das equipas vê-se obrigada a escolher entre três opções que não funcionam:
- Fazer uma atualização e correr o risco de interromper a produção
- Migrar para um produto de substituição bloqueado pelo fornecedor
- Continuar a utilizar software vulnerável
A realidade é que a atualização não é simples (que surpresa). Uma atualização de dependências pode comprometer o ambiente de produção, trazer dezenas de alterações não relacionadas, depender de versões que ainda não existem ou até mesmo introduzir novas vulnerabilidades. Mesmo quando tudo corre bem, as atualizações consomem semanas de tempo de engenharia.
A verdade é que o software de código aberto precisa de correções, e precisa delas rapidamente.
A Root resolve este desafio da cadeia de abastecimento com uma abordagem baseada em agentes. Em vez de agentes que se limitam a detetar vulnerabilidades, criaram um sistema semelhante a uma fábrica, no qual os agentes geram correções CVE precisas para as versões dos pacotes que as equipas realmente utilizam, à velocidade da máquina.
O resultado? Centenas de correções CVE verificadas produzidas todos os dias.
Que — espere só — não introduzem alterações que causem incompatibilidades.
«O setor continua preso à triagem, pegando numa lista gigantesca de CVEs e discutindo quais devem ser corrigidos primeiro. Ou pior ainda, dizendo às equipas para deitarem fora as suas imagens e recomeçarem do zero com as de outra pessoa», afirma Ian Riopel, cofundador e CEO da Root. «Criámos a Root para evitar essa discussão e simplesmente resolver o problema no local. Trata-se de uma escolha entre os “jardins murados” e o verdadeiro apoio ao código aberto. Nós escolhemos o código aberto.»
Agora estamos a incorporar essa capacidade no Aikido.
Vamos lançar Aikido e Aikido : bibliotecas e container livres de vulnerabilidades e prontas a utilizar, que aplicam correções ao software que as equipas já estão a utilizar, sem necessidade de migração e, mais importante ainda, sem alterações que causem incompatibilidades.
Já estão em produção e disponíveis para todos Aikido (dá uma vista de olhos no catálogo de imagens aqui )
Quando for divulgada uma nova vulnerabilidade CVE, iremos gerar o patch adequado ao seu sistema, para a sua versão específica. Assim, garantimos a sua proteção contínua.
E não, «patches privados para software de código aberto» não é o título.
As correções críticas para vulnerabilidades que estão a ser ativamente exploradas continuarão a ser partilhadas com a comunidade, a montante em todos os ecossistemas, sem ficarem restritas a um acesso pago. Se queremos resolver segurança da supply chain de software, é o ecossistema que tem de se tornar mais seguro, e não apenas os nossos clientes.
«Os responsáveis pela manutenção de software de código aberto estão sobrecarregados com tarefas de segurança, ao mesmo tempo que tentam manter em funcionamento os projetos dos quais o mundo depende», afirma Adrian Estrada, diretor técnico da NodeSource, membro do Conselho de Administração da OpenJS e colaborador principal do Node.js. «Aikido o Root estão a aliviar-nos a carga de trabalho, ao fazerem o backport de correções e as contribuírem para o projeto principal.»
Bem-vindo ao Aikido, Root. E um caloroso bem-vindo aos cofundadores da Root, Ian, John, Benji e Mickey, e ao resto da equipa da Root!
A missão? Fazer com que os programadores voltem a programar.
xo Madeline, Aikido
{{cta}}
