50 anos de segurança da cadeia de suprimentos de software de código aberto: De Multics ao ataque xz
Este artigo explora os desafios da segurança da cadeia de suprimentos de software de código aberto nas últimas cinco décadas. De potenciais backdoors identificados em uma avaliação de segurança do Multics de 1974 ao ataque de backdoor da biblioteca de compressão xz de 2024, o problema persiste. Russ Cox, desenvolvedor central da linguagem de programação Go, utiliza sua experiência pessoal e exemplos do setor para discutir as definições de ataques e vulnerabilidades da cadeia de suprimentos de software, a complexidade das cadeias de suprimentos de software e métodos para fortalecer as defesas. Isso inclui autenticação de software, compilações reprodutíveis, descoberta e correção rápidas de vulnerabilidades e estratégias de prevenção de vulnerabilidades. O artigo destaca a falta de financiamento para software de código aberto, deixando os projetos vulneráveis a atores maliciosos, ilustrado pelo ataque xz. Por fim, o autor apela para um aumento de financiamento e melhores práticas de segurança em código aberto para enfrentar as ameaças em evolução.