Melhor que sua reputação: por que as empresas alemãs ainda subestimam as vantagens de segurança de TI do software de código aberto. O Open Source Monitor 2021 da Bitkom fornece respostas importantes para questões de segurança.
O software de código aberto (OSS) encontrou seu lugar na economia alemã: De acordo com o Bitkom Open Source Monitor 2021 cerca de sete em cada dez empresas usam aplicativos cujo código-fonte básico está disponível publicamente. Os participantes da pesquisa apreciam muitas vantagens diferentes, mas ainda têm uma visão crítica do tópico de segurança de TI. Os entrevistados concordaram que a falta de especialistas especializados em OSS é uma grande desvantagem das soluções de código aberto. Os resultados da pesquisa mostram a importância do aconselhamento, treinamento e serviços prestados por fornecedores de software de código aberto para a obtenção dos benefícios das soluções.
Software de código aberto popular para economia de custos
Economia de custos (24 por cento) e acesso ao código-fonte (14 por cento) foram mencionados com mais frequência como vantagens de um OSS. O fenômeno não está de forma alguma concentrado em pequenas empresas sensíveis ao custo e no uso de pacotes de escritório gratuitos. Pelo contrário: a proporção de entrevistados que usam OSS aumentou com o tamanho da empresa para 87% com mais de 2.000 funcionários.
Entre outras coisas, as empresas usam programas de banco de dados e aplicativos de escrita ou gráficos, bem como serviços da Web e sistemas operacionais de servidor. Este último, em particular, deve atender a exigentes padrões de segurança de TI para não se tornar uma porta de entrada para incidentes de segurança, ou seja, um ponto fraco. No entanto, apenas sete por cento dos entrevistados consideraram um alto nível de segurança por meio de atualizações oportunas como uma vantagem do OSS. Na categoria de segurança de TI, a estabilidade do software e sua baixa taxa de erros seguiram em segundo lugar com apenas dois por cento.
A comunidade é uma ferramenta de teste de código permanente
Isso pode ser uma surpresa para os especialistas que estão ativamente envolvidos no tópico de código aberto e segurança de TI. Porque a segurança do software e seu código-fonte aberto estão intimamente ligados a muitos olhos. Soluções populares cujo código é visível publicamente reúnem uma comunidade ativa de usuários e desenvolvedores de diferentes áreas ao seu redor. Eles trazem diferentes interesses e, portanto, perspectivas para a verificação do código-fonte: alguns querem saber como o software funciona, outros procuram ativamente por pontos fracos como um hobby ou querem adaptar o aplicativo às necessidades individuais.
As linhas de código relevantes para a segurança são rapidamente percebidas, independentemente de serem vulnerabilidades, backdoors ou avaliações de dados indesejadas. A comunidade permite uma troca rápida de bugs, problemas de aplicativos ou até mesmo riscos potenciais de segurança e, assim, acelera a implantação de um patch. Ao mesmo tempo, é difícil ocultar funções em um software, então a forma como ele funciona é muito transparente.
Software PKI EJBCA – código aberto na melhor das hipóteses
Para aplicativos cujo código-fonte não é acessível publicamente, as empresas devem confiar que os provedores implementaram a segurança de TI da melhor maneira possível e, por exemplo, não integraram nenhuma função de rastreamento indesejável. O código aberto permite a revisão por especialistas internos e membros independentes da comunidade.
O exemplo do software de infraestrutura de chave pública (PKI) EJBCA mostra o alcance que isso pode ter na segurança de TI. Está disponível como um OSS e contém todos os componentes necessários para a implementação de uma PKI, como Autoridade de Certificação (CA), Autoridade de Registro (RA) e Autoridade de Validação (VA) para emitir certificados criptográficos para determinar as identidades de dispositivos finais e usuários.
As identidades digitais e seus aplicativos estão entre os blocos de construção fundamentais da segurança de dados e informações. A confiança na infraestrutura de emissão pode ser tão forte quanto a confiança nos componentes de software individuais. Como existe uma comunidade EJBCA global e ativa que analisa e estende o código-fonte, há um conhecimento muito bom do que a CA pode fazer e como ela funciona. As empresas que integram o aplicativo em seu próprio PKI ganham, portanto, uma garantia adicional de que as promessas feitas a elas serão mantidas.
Fornecedores de OSS e a escassez de habilidades
Como desvantagem do software de código aberto, 88% dos entrevistados no estudo mencionaram no início a falta de especialistas em OSS. Para aplicações populares, as empresas podem encontrar ajuda de provedores especializados, como PrimeKey e seus parceiros, que podem fornecer serviços de consultoria, treinamento, implementação e manutenção, além do software. Com isso, organizações sem know-how próprio podem implementar cenários especiais de aplicação que exijam ajustes no código-fonte, enquanto a comunidade continua à sua disposição como autoridade de controle.
Mais em Primekey.com
Sobre PrimeKey
A PrimeKey é um dos principais fornecedores mundiais de soluções PKI e desenvolveu uma série de produtos inovadores. Estes incluem EJBCA Enterprise, SignServer Enterprise, EJBCA Appliance, PrimeKey SEE e o Identity Authority Manager. Como pioneira na área de software de código aberto para segurança de TI, a PrimeKey ajuda empresas e instituições a implementar soluções de segurança essenciais, como e-ID, passaportes biométricos, autenticação, assinaturas digitais e identidades digitais uniformes e validação.