Mercado abrirá em 7 h 33 min
  • BOVESPA

    108.487,88
    +1.482,88 (+1,39%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.518,30
    +228,40 (+0,45%)
     
  • PETROLEO CRU

    110,82
    +0,54 (+0,49%)
     
  • OURO

    1.854,20
    +12,10 (+0,66%)
     
  • BTC-USD

    30.168,33
    +817,33 (+2,78%)
     
  • CMC Crypto 200

    674,04
    +0,67 (+0,10%)
     
  • S&P500

    3.901,36
    +0,57 (+0,01%)
     
  • DOW JONES

    31.261,90
    +8,80 (+0,03%)
     
  • FTSE

    7.389,98
    +87,24 (+1,19%)
     
  • HANG SENG

    20.331,61
    -385,63 (-1,86%)
     
  • NIKKEI

    26.892,27
    +153,24 (+0,57%)
     
  • NASDAQ

    11.961,00
    +120,25 (+1,02%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,1665
    +0,0137 (+0,27%)
     

Google alerta para possíveis perigos em atualizações de programas open source

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

O Google, em conjunto com o projeto Package Analysis, divulgou parte do trabalho que realiza para encontrar códigos maliciosos que podem ter sido implantados em projetos de software open source de grande escopo.

O projeto Package Analysis, segundo as informações divulgadas pelo Google, encontrou 200 códigos maliciosos em aplicações open source em um período de um mês. Entre as amostas, estavam ameaças que visavam roubar credencias salvas em computadores a partir de modificações no launcher do Discord, por exemplo.

Outro exemplo encontrado foram centenas de códigos maliciosos destinados a atacar usuários da nuvem do Microsoft Azure. Nesses golpes, os criminosos visam comprometer dados de usuários do serviço através de distribuição de pacotes referentes a atualizações modificados, inclusive com números de versões que nem existem muitas vezes. Esses arquivos, então, modificam o funcionamento da solução para que ela vaze informações para os controladores.

Ao mesmo tempo, em uma nota positiva, por mais que esses ataques sejam situações a que os controladores de redes e usuários devem estar sempre atentos, a maioria dos detectados pelo projeto Package Analysis são provenientes de testes de desenvolvedores para programas de caça a bugs — o que significa que as empresas responsáveis pelas soluções provavelmente já sabem do problema e já podem tê-los corrigidos.

Cenário de falhas em open source precisa ser acompanhado com atenção

<em>Segurança para programas open source também é importante. (Imagem: Pete Linforth/Pixabay)</em>
Segurança para programas open source também é importante. (Imagem: Pete Linforth/Pixabay)

Mesmo com a maioria dos problemas vindo de análises de bug bounty, é importante não diminuir a importância desses exploits open source, já que, no fim do ano passado, a falha Log4j colocou em risco muitos sistemas no mundo inteiro.

É por saber desses problemas que o Google e a Microsoft investiram US$ 5 milhões em projetos da Open Source Security Foundation (OpenSSF), da Linux Foundation. O objetivo é aumentar a segurança de softwares open source mais utilizados na indústria, em um esforço para evitar situações como a do Log4j se repitam.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos