Sete perguntas a fazer antes de usar software de código aberto no trabalho
22 de julho de 2019 // 2 min read
O código aberto ajuda as equipes da empresa a criar software melhor e com mais rapidez, mas também traz riscos e desafios únicos.
A sua organização está pronta para usar software de código aberto com segurança? Aqui estão sete perguntas a serem feitas (e respondidas) para manter sua equipe e seu código seguros.
1. Existe um processo de aprovação para ajudar os desenvolvedores a introduzir novo software de código aberto (OSS) em nossa organização?
Para acompanhar o volume de código de OSS, as organizações maiores geralmente têm escritórios de programas de código aberto para ajudá-las a manter as políticas da empresa enquanto usam OSS. Trabalhe com a equipe jurídica da sua organização para criar um processo oficial de aprovação para contribuir com projetos de OSS.
2. Nossa organização possui uma lista de licenças de OSS pré-aprovadas, para que os desenvolvedores saibam qual OSS podem usar em software proprietário?
As licenças de código aberto definem as regras e diretrizes sobre como os projetos de OSS podem ser visualizados, usados, modificados e distribuídos, mesmo em software proprietário. Isso não significa que você não pode usar nenhum OSS em código proprietário; basta confirmar se o OSS que você usa tem a licença correta para os objetivos da sua aplicação e as políticas da organização.
3. Podemos auditar com facilidade dependências, licenças e outras informações importantes para os projetos de código aberto que nossa organização usará?
Ignorar as políticas de conformidade da sua organização apenas cria vulnerabilidades futuras ou problemas de licenciamento. Automatize os fluxos de trabalho de conformidade agora mesmo criando portas de processo com os status necessários e outras verificações de código.
4. Minha equipe tem um plano e ferramentas para identificar e corrigir componentes vulneráveis?
Até 70 por cento dos novos projetos de software dependem de código aberto. A reutilização de código ajuda todos a criar softwares melhores com mais rapidez, mas também nos coloca em risco de distribuir vulnerabilidades de segurança. Certifique-se de que seus desenvolvedores tenham as ferramentas de que precisam para identificar vulnerabilidades e corrigir códigos vulneráveis com rapidez.
5. Minha equipe usa ferramentas como verificação de segredo para garantir que credenciais altamente confidenciais não sejam enviadas acidentalmente para repositórios públicos?
Mesmo as organizações mais preocupadas com a segurança eventualmente cometem um erro. Proteja sua equipe contra o vazamento acidental de segredos com ferramentas que verificam commits à medida que são compartilhados e invalidam proativamente as credenciais antes que possam ser comprometidas.
6. Temos um registro privado de pacotes de software que são seguros para uso em nossa organização?
Ao consumir um pacote de código aberto, é importante confiar e compreender o código. Use um registro de pacotes para encontrar rapidamente o que foi aprovado para os repositórios da sua organização e armazene com facilidade os pacotes no mesmo ambiente seguro que o seu código-fonte.
7. Eu tenho uma maneira de validar as identidades dos usuários para que apenas minha equipe faça commit de código em nossos projetos, incluindo commits assinados?
Construir com código aberto significa adicionar milhares de desenvolvedores externos à sua equipe. Esteja você colaborando em projetos públicos ou privados, trabalhe com seu provedor de identidade para sempre verificar determinados commits e tags como sendo provenientes de sua organização.
Como você se saiu?
Você respondeu “não” ou “talvez” a alguma das perguntas acima? Sua equipe ainda pode precisar fazer algumas alterações de segurança antes de usar software de código aberto.
Tags