Nos dias 13 e 14 de maio de 2023, os treinamentos para certificações em GNU/Linux do Linux Professional Institute, e da CompTIA, serão disponibilizados de forma gratuita pela plataforma ITProTV!
Para acessar os treinamentos durante o período promocional, basta ter uma conta junto à plataforma, que também pode ser obtida gratuitamente, bastando realizar o cadastro e aproveitar. Não é necessário cadastro de cartão de crédito, e conteúdo é ministrado em inglês.
Os treinamentos disponibilizados durante este final de semana serão:
Linux Essentials;
CompTIA Linux+;
LPIC-1 Linux Administrator (101-500);
LPIC-1 Linux Administrator (102-500);
LPIC-2 Linux Engineer (201-450) e
LPIC-2 Linux Engineer (202-450).
Se você tem interesse em obter alguma das certificações listadas, é uma oportunidade de reforçar o conhecimento com os conteúdos disponibilizados pela plataforma, complementando os estudos de forma gratuita. Aproveite!
Depois dos recentes problemas envolvendo as vulnerabilidades descobertas junto à biblioteca de logs Java de código aberto, Log4j, da Fundação Apache, o governo dos Estados Unidos da América convocou um encontro com membros de organizações dedicadas aos softwares livres, bem como representantes de empresas e de agências governamentais.
A reunião foi conduzida pela líder de segurança cibernética da Casa Branca, Anne Neuberger. Executivos e funcionários de organizações como a própria Fundação Apache, Linux Foundation, Apple, Amazon, Google, IBM, Microsoft e Oracle participaram do encontro. Agências governamentais como o Departamento de Defesa e a Agência de Segurança Cibernética e Infraestrutura também estiveram representadas. O tópico do encontro foi que, como o software de código aberto se tornou essencial para toda a tecnologia e, portanto, para a segurança nacional, todos devem trabalhar juntos para protegê-lo.
Após a reunião, o diretor executivo da Linux Foundation, Jim Zemlin, disse que: “A proteção da infraestrutura crítica inclui proteger o software que executa seus sistemas bancário, de energia, defesa, saúde e tecnologia. Quando a segurança de um componente ou aplicativo de código aberto amplamente utilizado é comprometida, todas as empresas, todos os países e todas as comunidades são afetadas. Este não é um problema exclusivo do governo dos EUA; é uma preocupação global. Aplaudimos a liderança do governo dos EUA em facilitar um foco mais forte na segurança de software de código aberto e esperamos colaborar com o ecossistema global para progredir.”
Ainda assim, como David Nalley, presidente da Fundação Apache, observou: “Há muito o que refletir após as discussões, mas acho que foi uma boa rodada de discussões sobre segurança de software de código aberto e cadeia de suprimentos. Embora não haja balas de prata para o complexo conjunto de problemas, é ótimo ver tanto interesse e investimento na melhoria do ecossistema de código aberto.”
Para fazer isso, Kent Walker, presidente de assuntos globais do Google e da Alphabet, disse que é hora de pensar em segurança de software da mesma forma que pensamos em nossa infraestrutura física. “O software de código aberto é um tecido conjuntivo para grande parte do mundo online – merece o mesmo foco e financiamento que damos às nossas estradas e pontes.”
Walker acrescentou em um post no blog da companhia: “Por muito tempo, a comunidade de software se confortou com a suposição de que o software de código aberto geralmente é seguro devido à sua transparência e à suposição de que “muitos olhos” estavam observando para detectar e resolver problemas. Mas, na verdade, enquanto alguns projetos têm muitos olhos neles, outros têm poucos ou nenhum.”
A Google, bem como os principais players do mercado que lidam com software livre já estão cientes do problema, e já atuam em frentes que visam minimizá-lo. A empresa apoiou a Open Source Security Foundation da Linux Foundation, que gerencia as prioridades de segurança em sofwares de código aberto e corrige vulnerabilidades, em colaboração com empresas e comunidades.
Entre as propostas de solução oferecidas durante o encontro, três delas são:
Identificação projetos críticos
Proposta de parcerias público-privadas para identificar uma lista de projetos críticos de código aberto — com criticidade determinada com base na influência e importância de um projeto — para ajudar a priorizar e alocar recursos para as avaliações e melhorias de segurança mais essenciais.
Estabelecimento de linhas de base de segurança, manutenção e testes
Com a crescente dependência do código aberto, é chegada a hora de a indústria e o governo se unirem para estabelecer padrões básicos de segurança, manutenção e testes – para garantir que a infraestrutura nacional e outros sistemas importantes possam continuar contando com projetos de código aberto. Esses padrões devem ser desenvolvidos por meio de um processo colaborativo, com ênfase em atualizações frequentes, testes contínuos e integridade verificada.
Aumentar o apoio público e privado
Muitas empresas e organizações líderes não reconhecem quantas partes de sua infraestrutura crítica dependem do código aberto. É por isso que é essencial que vejamos mais investimentos públicos e privados para manter esse ecossistema saudável e seguro.
Durante o encontro foi proposta a criação de uma organização para servir como um “mercado” para a manutenção de softwares de código aberto, combinando voluntários de empresas com os projetos críticos que mais precisam de suporte, sendo que alguns desses trabalhos já estão em andamento.
O diretor executivo do OpenSSF, Brian Behlendorf, afirmou: “Durante a reunião de hoje, compartilhamos um conjunto de oportunidades importantes nas quais, com compromissos suficientes de todos, poderíamos causar um impacto substancial nos esforços críticos necessários para proteger e melhorar a segurança de nossas cadeias de fornecimento de software. … Por meio de esforços como nossos grupos de trabalho sobre Melhores Práticas, Identificação de Projetos Críticos, Métricas e Scorecards, Projeto Sigstore e outros a serem anunciados em breve, o OpenSSF já teve um impacto em muitas das principais áreas discutidas durante a reunião de hoje. Estamos prontos para promover esses esforços e dar as boas-vindas a todos os novos participantes e recursos.”
Para maiores detalhes, acessem a postagem original, em inglês, no site TheNewStack.
Estando entre os recursos mais utilizados por empresas, os programas de recompensa pela descoberta de vulnerabilidades premiam pesquisadores em segurança da informação, que localizam e reportam falhas de segurança em aplicações e sistemas.
Em reconhecimento à força desta estratégia, a União Européia lançou, ainda em 2014, a primeira fase de sua iniciativa para auditar softwares livres, o projeto FOSSA – Free and Open Source Software Audit, onde dois projetos foram contemplados inicialmente com auditorias de segurança, sendo estes o projeto Apache e o Keepass. Esta primeira fase durou dois anos, indo de 2015 até o final de 2016.
Em 2017, a iniciativa foi renovada para um período de mais três anos, e teve um piloto para o oferecimento de bug bounties utilizando o player multimídia VLC, permitindo que a Comissão Européia obtivesse experiência na execução da oferta de recompensas por falhas.
Em abril de 2018 foi aberta uma chamada pública para licitações e, em outubro do mesmo ano, as empresas foram definidas como as principais executoras do projeto, sendo estas a HackerOne e Intigriti.
Agora, iniciando em janeiro de 2019, o programa de recompensas para as falhas foi extendido para 15 aplicações de código aberto, consideradas como sendo de grande importância para a manutenção da infraestrutura de Internet, e também para o uso da população. A nova fase vai distribuir o equivalente a € 851.000 (oitocentos e cinquenta e um mil Euros).
Segundo Julia Reda, uma das idealizadoras do projeto, um dos principais objetivos do projeto FOSSA é “estabelecer a segurança dos softwares livres como um item permanente no orçamento da União Européia”.
Também estão previstas para esta fase a realização de Hackathons, com o objetivo de aproximar os desenvolvedores destas aplicações junto às instituições européias e os próprios mantenedores dos projetos de código aberto, para que possam colaborar de maneira mais próxima para o desenvolvimento destes softwares, facilitando o intercâmbio de conhecimento.
Veja abaixo a tabela, com uma tradução livre para os títulos da colunas, onde estão dispostos os projetos contemplados pela iniciativa, além das datas de início e fim da captação dos reportes de vulnerabilidades, bem como as plataformas onde estes reportes devem ser feitos para concorrer às premiações. Para acessar a página com o anúncio oficial, e também visualizar a tabela original, em inglês, acessem este link.
Caminhando Livre 
