Fortalecendo a Segurança Open Source com IA e Colaboração

A Importância Crítica da Segurança no Open Source

No coração do desenvolvimento de software moderno reside a comunidade open source, impulsionada por mantenedores dedicados, voluntários incansáveis e comunidades que silenciosamente alimentam o software do mundo. Contudo, essa base essencial enfrenta desafios crescentes. A realidade por trás dos commits revela mantenedores sobrecarregados pela demanda de pull requests, comentários e a expectativa de integrar e entregar novas funcionalidades rapidamente. Noites tardias frequentemente levam ao esgotamento, e projetos que começam pequenos podem se tornar infraestrutura crítica da noite para o dia, sem o devido reconhecimento ou suporte financeiro.

A chegada da Inteligência Artificial (IA) é uma força aceleradora que está redefinindo o cenário de segurança do ecossistema open source. A necessidade de segurança "sempre ativa" consome ainda mais tempo e energia, e nem sempre há acesso ao conhecimento e à expertise necessários. Na AITY, como Engenheiro de Software Sênior e Arquiteto de Soluções, compreendo que apoiar o open source vai além de hospedar código. Significa investir nas pessoas que o mantêm, fornecendo as ferramentas para seu sucesso e apoiando-os na rápida evolução da era da IA.

Fortalecendo a Segurança Open Source, Juntos

A segurança eficaz no open source é um esforço coletivo. Recentemente, grandes players da indústria, incluindo GitHub, Anthropic, Amazon Web Services (AWS), Google e OpenAI, comprometeram-se com um investimento combinado de US$ 12,5 milhões na iniciativa Alpha-Omega da Linux Foundation. Esta colaboração visa ajudar os mantenedores a tornar as capacidades emergentes de segurança da IA acessíveis e integradas aos fluxos de trabalho existentes, além de fortalecer programas de segurança de software open source (OSS) críticos.

Este esforço complementa anos de trabalho do GitHub como guardião do open source e da segurança de software. O impacto real surge da combinação de investimento com ferramentas práticas, educação e suporte de longo prazo.

Atualmente, mais de 280.00hed0 mantenedores no GitHub, em centenas de milhões de repositórios públicos, já têm acesso gratuito a serviços essenciais da plataforma, incluindo:

• GitHub Copilot Pro
• GitHub Actions
• Recursos de segurança como code scanning e Autofix
• Secret scanning
• Push protection
• Dependency alerts

Além disso, o GitHub Security Lab colabora com a comunidade open source para educar e proteger em escala contra as ameaças mais comuns, publicando avisos de segurança que auxiliam todo o ecossistema a responder mais rapidamente.

Em reforço a esse suporte contínuo, novas iniciativas foram anunciadas:

• GitHub Secure Open Source Fund: Um investimento adicional de US$ 5,5 milhões em créditos Azure e financiamento para fornecer treinamento e expertise, melhorar resultados e incorporar novos parceiros como Datadog, Open WebUI, Atlantic Council e OWASP.
• GitHub Security Lab: Investimento na experiência de avisos de segurança no GitHub e recursos de Private Vulnerability Reporting (PVR) para diminuir a carga de relatórios de baixa qualidade e ajudar mantenedores a gerenciar o volume crescente.

Programas como o GitHub Secure Open Source Fund demonstram que os resultados de segurança mais eficazes são alcançados ao vincular financiamento e recursos a resultados específicos, como a melhoria da segurança. Após apoiar 138 projetos com mais de 200 mantenedores em 38 países, vimos 191 novas CVEs emitidas, mais de 250 novos segredos impedidos de vazar e mais de 600 segredos vazados detectados e resolvidos, impactando bilhões de downloads mensais de projetos alumni.

Colocando a IA para Trabalhar para os Mantenedores

A IA aumentou drasticamente a velocidade e a escala da descoberta de vulnerabilidades, tanto para defensores quanto para atacantes. Hoje, mais do que nunca, os mantenedores estão na linha de frente da segurança de software. Eles frequentemente enfrentam um aumento de pull requests automatizados e relatórios de segurança com baixa relação sinal-ruído, resultando em mais esgotamento.

Como Christian Grobmeier, mantenedor do Log4j, afirmou: "nossa IA tem que ser melhor do que a IA atacante". Concordamos plenamente. O foco não é apenas encontrar mais problemas, mas ajudar os mantenedores a triar, entender e corrigi-los de forma eficaz, sem perder a alegria ou a sustentabilidade da manutenção open source. Por exemplo, a estrutura de pesquisa de segurança baseada em IA foi recentemente tornada open source para empoderar mantenedores, não apenas equipes de segurança.

Olhando para o futuro, o GitHub continuará investindo em ferramentas como controles de pull request, garantindo que a IA seja um multiplicador de força para os mantenedores em todas as etapas, desde a triagem de problemas, revisões de pull requests, identificação e remediação de vulnerabilidades de segurança, e muito mais. A IA não deve ser uma fonte adicional de pressão. Mantenedores de projetos open source impactantes já têm acesso ao Copilot Pro, que inclui revisão de código assistida por IA, fluxos de trabalho de remediação de segurança agentic e acesso a um amplo conjunto de modelos líderes, todos projetados para ajudar os mantenedores a encontrar e remediar riscos mais rapidamente.

Os objetivos são claros:

• Atender os mantenedores onde eles já trabalham no GitHub.
• Ajudar a priorizar problemas reais em vez de ruídos.
• Acelerar correções, não apenas descobertas.
• Suportar padrões de segurança e fluxos de trabalho saudáveis.

Open Source é uma Responsabilidade Compartilhada

Nenhuma empresa ou grupo pode garantir a segurança do open source sozinho. O software do qual todos dependemos é construído por uma comunidade global, e protegê-lo exige colaboração entre ecossistemas e economias globais. Ao trabalhar com mantenedores e parceiros como a Alpha-Omega, busca-se escalar o impacto sem fragmentar o esforço. Combinando a plataforma, ferramentas e programas do GitHub com governança e confiança comunitárias compartilhadas, e fornecendo aos mantenedores os modelos mais recentes e ferramentas de codificação assistidas por IA, esse objetivo é alcançável.

Mais importante, o investimento é nas pessoas, não apenas nos projetos. Porque o open source prospera quando os mantenedores são apoiados, respeitados e capacitados para fazer seu melhor trabalho. Na AITY, valorizamos cada mantenedor que constrói o futuro conosco.

Ações como estas, que empoderam os mantenedores com ferramentas, conhecimento e suporte financeiro, não apenas reduzem a sobrecarga e o esgotamento, mas também resultam em um ecossistema de software mais robusto e seguro para todos os usuários downstream. Ao focar em resultados práticos e na colaboração, a segurança se torna uma força de reforço comunitário, fundamental para a cadeia de suprimentos de software global.