Portal ERP
VoltarCibersegurança

Proteger o tecido tecnológico empresarial: um roteiro para o código aberto

«O software de código aberto continua a ser intrinsecamente seguro, estruturalmente resiliente e, fundamentalmente, infalível»

Chris Wright
02 de jul. de 2026
T|Fonte:18px
8 min de leitura
Proteger o tecido tecnológico empresarial: um roteiro para o código aberto

Chris Wright, CTO e vice-presidente sénior de Global Engineering na Red Hat.

As vulnerabilidades de dia zero impulsionadas por IA, que têm dominado as parangonas da imprensa, levaram o setor a colocar uma questão: estará o software de código aberto a representar um risco excessivo para as empresas? Não é uma pergunta trivial, dado que o código aberto representa mais de três quartos da base de código de uma empresa média. Mas a resposta é clara: o software de código aberto continua a ser intrinsecamente seguro, estruturalmente resiliente e, fundamentalmente, infalível.

O código aberto é a base de toda a tecnologia moderna, não apenas da informática empresarial, e isto vai muito além do Linux. Os servidores de aplicações, as bases de dados, o encaminhamento de redes, os ambientes de desenvolvimento e todos os outros componentes invisíveis que constituem o nosso tecido tecnológico alimentam-se, de uma forma ou de outra, de projetos de código aberto.

Resumindo, não existe uma alternativa real ao código aberto. O software proprietário é o que mais se aproxima, por ser controlado e propriedade de uma única empresa, mas carece da escalabilidade, variedade e ubiquidade do código aberto. Com o software proprietário, o código-fonte é uma caixa negra. Apenas o fornecedor decide o que é solucionado e quando. Quando se descobre uma vulnerabilidade, esta pode permanecer em segredo, conhecida unicamente pelos atacantes que a encontraram. Esse modelo pode dar uma falsa sensação de segurança, mas o risco foi simplesmente ocultado e transformado numa incógnita. O software proprietário permite que as vulnerabilidades se multipliquem na sombra.

O código aberto muda esta dinâmica ao colocar o código à disposição de toda a gente, sob a máxima de que "com olhos suficientes, todos os erros são visíveis". Quando qualquer pessoa pode examinar o código, qualquer pessoa pode detetar e reportar problemas, algo que agora é fortemente potenciado pelo uso da IA para acelerar a inspeção do código. Além disso, dado que muitas organizações dependem do software de código aberto, existe uma grande motivação coletiva para resolver as vulnerabilidades.

Nenhum método de desenvolvimento de software garante um código perfeito, mas a natureza transparente e colaborativa do código aberto oferece vantagens claras face aos modelos proprietários na hora de combater as ameaças modernas. As empresas sempre estiveram, e continuarão a estar, atentas às vulnerabilidades à medida que são descobertas. O que mudou foi a velocidade. O número de vulnerabilidades registadas (CVE) cresceu mais de 520% desde 2016. As ferramentas de varrimento baseadas em IA descobrem agora vulnerabilidades críticas de dia zero em questão de horas, e não de meses, e menos de um por cento das vulnerabilidades detetadas por IA foram corrigidas. O verdadeiro desafio atual é a capacidade operacional das empresas para absorver e implementar as correções com a rapidez suficiente.

Este problema é agravado pela falta de coordenação. Todas as grandes organizações dependem do mesmos pacotes essenciais de código aberto (como Spring Framework, Jackson, Log4j, Pandas ou OpenSSL). No entanto, não havendo coordenação, cada entidade deteta as mesmas vulnerabilidades de forma independente, desenvolve correções (patches) de forma isolada e mantém bifurcações privadas (forks) das quais mais ninguém retira proveito. O resultado é uma duplicidade de esforços com um custo enorme e uma qualidade desigual, enquanto o ecossistema geral continua exposto. Para manter a segurança, as organizações devem contribuir para os projetos originais de código aberto, o que é conhecido como contribuição upstream, acelerar os seus processos operacionais e fazê-lo de forma conjunta.

O que as empresas podem fazer para começar hoje mesmo

O código aberto continua a ser a base mais segura para la inovação, mas reduzir o tempo de exposição às ameaças exige uma ação imediata. Estes são alguns passos simples e práticos que as empresas podem dar hoje mesmo para proteger as suas cadeias de fornecimento de software:

  • Escolher plataformas apoiadas por fornecedores responsáveis: A infraestrutura é o alicerce sobre o qual repousa tudo o resto. Convém verificar se os fornecedores que a suportam contribuem ativamente para os projetos de código aberto que distribuem. Um fornecedor com um percurso consolidado em contribuições upstream, backporting de correções de segurança e divulgação responsável está comprometido com a saúde da comunidade, e não apenas com a sua conta de resultados.

  • Criar um inventário completo de dependências: O ponto de partida é auditar a carteira de aplicações para estabelecer um mapa inicial. É necessário identificar cada biblioteca de código aberto, cada dependência transitiva e cada versão fixa que esteja atualmente a correr em produção.

  • Definir o tempo de ciclo desde a correção até à produção: Medir a realidade atual é imprescindível: quanto tempo demora realmente uma correção upstream a ultrapassar as análises de segurança internas, os testes, os comités de mudança e as pipelines de implementação. Uma vez estabelecido esse tempo, o objetivo deve ser fixar metas ambiciosas para reduzir esta janela ao mínimo.

  • Automatizar as pipelines de reconstrução e recolocação: À medida que a janela de exposição perante as ameaças se reduz de meses para horas, as atualizações manuais deixam de ser viáveis. Preparar o ambiente para reconstruções de aplicações frequentes, previsíveis e automatizadas permite incorporar pacotes seguros a grande velocidade e sem riscos.

  • Adotar soluções de segurança ativas: Optar por soluções ativas de segurança na cadeia de fornecimento que ofereçam linhas de base sem CVEs conhecidos e proteção em tempo de execução, como Red Hat Hardened Images, Red Hat Trusted Libraries e OpenShift Advanced Cluster Security, permite operar com maior agilidade e confiança.

Acelerar a mudança com o Projeto Lightwell

À medida que as organizações automatizam os seus fluxos de trabalho para aplicar correções mais rapidamente, a IBM e a Red Hat estão a construir um motor de remediação concebido especificamente para as fornecer. Recentemente, apresentámos o Projeto Lightwell, um compromisso conjunto de 5 mil milhões de dólares apoiado por uma equipa global de mais de 20.000 engenheiros para redefinir a segurança da cadeia de fornecimento de software na era da IA.

O Projeto Lightwell escala a metodologia comprovada da Red Hat durante mais de duas décadas no backporting de correções de segurança de nível empresarial, o processo de transferir correções de versões mais recentes para versões estáveis já em produção. Esta disciplina de engenharia rigorosa estende-se agora além da camada do sistema operativo para o ecossistema mais amplo de frameworks de aplicações e dependências: começando pelo Maven/Java e expandindo-se para o PyPI (o repositório de Python), npm (o gestor de pacotes de JavaScript) e outros ambientes. Ao combinar IA para o processamento massivo de ameaças com engenharia humana especializada, o projeto aplica correções cirúrgicas sobre as versões estáveis exatas que as empresas já executam em produção, eliminando a necessidade de atualizações indiscriminadas que podem desestabilizar os sistemas.

Sem um mecanismo para que as correções sejam aceites pelos projetos de contribuição upstream, cada backport que uma organização desenvolve de forma independente gera um fork privado permanente: uma bifurcação do código que deve ser mantida de forma autónoma perante cada vulnerabilidade, atualização ou mudança de dependência posterior. Isto aumenta tanto os custos como os riscos operacionais da organização. O Projeto Lightwell quebra este ciclo: a Red Hat desenvolve a correção, entrega-a à empresa e contribui com ela para o projeto de código aberto de origem. Deste modo, a correção passa a fazer parte do código público.

Esta abordagem alinha-se com as diretrizes da recente Ordem Executiva sobre IA e cibersegurança dos Estados Unidos, que prevê a criação de um centro de coordenação de cibersegurança em IA para articular a análise de vulnerabilidades, a sua validação e remediação nas infraestruturas críticas. O Projeto Lightwell está concebido para ser a coluna vertebral operacional do setor privado em resposta a esse mandato.

Colaborar para proteger a empresa e todo o ecossistema de código aberto

Proteger a cadeia de fornecimento de software é um desafio coletivo da indústria que nenhuma empresa consegue resolver sozinha. Através do Projeto Lightwell, a IBM e a Red Hat colaboram com um grupo restrito de líderes do setor financeiro e de infraestruturas críticas para estabelecer um centro de confiança empresarial partilhado.

Esta rede de inteligência colaborativa traz três capacidades que nenhuma organização conseguiria desenvolver de forma independente:

  1. Os membros partilham descobertas de novas vulnerabilidades e recebem correções coordenadas antes da sua difusão pública, transformando a deteção isolada numa defesa partilhada.

  2. Cada correção é entregue pronta para produção: assinada criptograficamente, com um inventário de componentes de software (SBOM) legível por máquina e avisos de segurança para cumprir os requisitos regulamentares.

  3. De forma fundamental, o Projeto Lightwell opera sob o princípio de contribuição sempre para o código-fonte original (upstream-always). Cada correção que desenvolvemos é devolvida ao projeto de código aberto de origem.

Ao colaborar neste centro, o projeto não só protege as organizações individualmente, como também devolve sistematicamente os avanços de segurança à comunidade, mantendo o código aberto seguro para todos.

O código aberto construiu a empresa moderna. A vigilância coordenada e o Projeto Lightwell ajudam a que este código continue seguro, solucionando os problemas mais rapidamente, como uma única comunidade e em aberto.

Compartilhar:
Chris Wright
Chris WrightColunista

CTO e vice-presidente sénior de Global Engineering · Red Hat

LinkedIn