Software Livre

O Notepad++ lançou a versão 8.9.2, que introduz um novo mecanismo de atualização denominado “double-lock” para mitigar vulnerabilidades de segurança que resultaram em compromissos na cadeia de suprimentos. O sistema combina a verificação do instalador assinado do GitHub com a validação de um arquivo XML assinado digitalmente do domínio notepad-plus-plus.org. Essa abordagem visa criar um processo de atualização mais robusto e seguro. Além disso, foram implementadas mudanças como a remoção do libcurl.dll para evitar riscos de side-loading e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. O Notepad++ também trocou de provedor de hospedagem e corrigiu falhas exploradas em ataques anteriores, que foram atribuídos a um grupo de ameaças ligado à China. Os usuários são aconselhados a atualizar para a nova versão e garantir que os instaladores sejam baixados do domínio oficial.

O relatório ‘The State of Trusted Open Source’, elaborado pela Chainguard, oferece uma visão abrangente sobre o uso de software livre nas organizações modernas e os riscos associados. A análise de mais de 1800 projetos de imagens de contêiner e 10.100 instâncias de vulnerabilidades revelou que a popularidade de um projeto não necessariamente se correlaciona com o risco. Por exemplo, 98% das vulnerabilidades encontradas estavam fora dos 20 projetos mais populares, indicando que a maior parte da carga de segurança está em imagens menos visíveis. Além disso, a conformidade com regulamentações, como o FIPS, tem impulsionado a adoção de software seguro, com 44% dos clientes da Chainguard utilizando imagens FIPS em produção. O relatório também destaca que a velocidade de remediação é crucial para construir confiança, com a Chainguard resolvendo vulnerabilidades críticas em menos de 20 horas, o que é significativamente mais rápido do que os padrões do setor. Esses dados são essenciais para que as empresas brasileiras compreendam a importância de manter a segurança em toda a sua infraestrutura de software livre, especialmente em um cenário onde a conformidade e a segurança são cada vez mais exigidas.