Mas mesmo aqui, o processo só funciona se as pessoas o seguirem. Há uma razão para os ataques à cadeia de suprimentos terem sucesso: mesmo quando uma correção para um bug está disponível, nós somos péssimos em aplicar os patches. Já faz 10 anos desde que o Heartbleed aconteceu, e ainda há dezenas de milhares de sistemas que permanecem vulneráveis. Por quê? Bem, não é trivial inventariar efetivamente os sistemas empresariais, e aplicar patches em sistemas mais antigos pode ser complicado.
Em nível de indústria, não podemos realmente resolver esses problemas, pois eles são específicos para cada empresa. No entanto, há coisas que podemos fazer. A Open Source Security Foundation (OpenSSF) assumiu o desafio de melhorar a postura de segurança do código aberto e, ao mesmo tempo, treinar pessoas sobre processo de segurança. Isso é excelente. Para mim, é uma das coisas mais importantes que a Linux Foundation, que é o lar definitivo do OpenSSF, faz.
Eu também destacaria que é isso que as comunidades de código aberto devem enfatizar, em geral. Temos uma comunidade de código aberto grisalha, como Steven J. Vaughan-Nichols escreve. “Se vamos mudar o mundo para sempre com código aberto, precisamos chamar a atenção de pessoas que ainda não fizeram 30 anos”, ele argumenta. Ele não está errado.
