Ironicamente, disse ele, uma das maiores razões apresentadas para o mundo usar código-fonte aberto é que ele é facilmente revisável, para que qualquer pessoa possa examiná-lo para ver e impedir vulnerabilidades. “Mas a realidade é que quase ninguém analisa a segurança de qualquer uma das dezenas de milhões de linhas de código-fonte aberto”, ressaltou.
“Houve dezenas de projetos de código aberto que tentaram implementar mais revisão de código padrão e todos falharam”, disse ele. “Uma das minhas citações favoritas de todos os tempos é: ‘Pedir aos usuários que revisem o código-fonte aberto antes de usá-lo é como pedir aos passageiros de um avião que saiam do jato e revisem a segurança do voo antes de voarem.’ Não tenho certeza de quem disse isso primeiro, mas é um resumo brilhante de por que a revisão voluntária de código-fonte aberto realmente não funciona.”
Typosquatting
Uma tática favorita dos agentes de ameaças que tentam infectar a cadeia de fornecimento de software de código aberto é o typosquatting, a criação de pacotes com nomes semelhantes aos legítimos para enganar desenvolvedores involuntários que procuram uma biblioteca específica. Por exemplo, em 2018, um pesquisador descobriu que os agentes de ameaças criaram bibliotecas falsas no repositório Python chamadas ‘diango’, ‘djago’, ‘dajngo’, para enganar os desenvolvedores que buscavam a popular biblioteca Python ‘django’.
