Código aberto vira assunto de segurança nacional, e Google quer ajudar

E mesmo nos projetos que têm muitos olhos sobre, não quer dizer que sejam olhos treinados o suficiente para encontrar falhas e, muito menos, que esses olhos treinados o suficiente sejam em quantidade o suficiente para vigiar o código inteiro.

Fora que os projetos precisam ter alguém (talvez melhor se for um grupo) que tenha a visão e entenda o projeto como um todo. Ter um olhos que são especialistas em apenas uma parte do projeto é tão útil quanto um míope tentando identificar um elefante. Ele vai ver detalhes interessantes e conhecer bem uma parte, mas vai ter dificuldades em entender como essa parte se encaixa no todo.

2 curtidas

No fim das contas, a decisão é sempre do “cliente”, ou seja, do dono do sistema.

Você quer economizar centenas de milhares de horas de desenvolvimento e usar uma biblioteca pronta que resolve boa parte do seu problema?

A resposta normalmente é SIM… O cliente não está disposto a pagar por um “sistema de log”, ele quer pagar é por aquilo que realmente interessa pra ele. O mesmo ocorre com o “Colors” e o “Faker”… Que são as bibliotecas que pouca gente está disposta a desenvolver por conta própria, mas que são úteis para o desenvolvedor.

Software de código-fonte aberto é isso ai… Você bota pra dentro do seu sistema um pedaço de sistema que você não sabe como funciona… Você torce para que o sujeito que fez a biblioteca seja honesto e competente… Mas a menos que você vá lá auditar o código do cara, ninguém garante nada.

O fato de ser software de código aberto tem as suas vantagens por causa da colaboração em comunidade, mas principalmente neste viés de segurança, muitos afirmam que o software desenvolvido dessa maneira é mais seguro, contudo isso se baseia muitas vezes apenas em uma suposição de que existem muitos olhos sobre o código cuidando para que ele seja seguro. Além do fato de que se o código está exposto, isso é bom para quem vai corrigir algo, mas ao mesmo tempo é como uma brecha que alguém precisa para explorar uma vulnerabilidade ainda “não conhecida”.