A 9 de Dezembro de 2021, foi relatada uma vulnerabilidade para sistemas a correr Apache Log4j versão 2.14.1 ou inferior - o CVE-2021-44228, apelidado de "Log4Shell". Desejamos assegurar a todos os nossos clientes e parceiros que Caldera as soluções não utilizam Log4j, seja nos nossos códigos ou em qualquer código de terceiros, pelo que não somos afectados por esta vulnerabilidade.
Contudo, queríamos aproveitar a oportunidade para discutir a utilização de tecnologias de fonte aberta nas nossas soluções, e como trabalhamos para melhorar a segurança dos nossos utilizadores.
O que é um software de código aberto?
O modelo de código aberto é um modelo de desenvolvimento de software descentralizado que incentiva colaboração aberta, para encorajar a inovação e a melhoria.
Código aberto significa que o código original não é codificado sob qualquer forma, e que qualquer utilizador poderia modificar o código de acordo com as suas necessidades. Há muitos benefícios para o código aberto, incluindo custos de software mais baixos, apoio abundante da comunidade, a capacidade de escalar e consolidar- e muitos mais.
Contudo, é importante ter em mente que o software de código aberto não é necessariamente livre de utilizar, e não é necessariamente compatível com todos os sistemas operativos. A definição de software de código aberto é "livre", no sentido de dar liberdade àqueles que o utilizam.
As tecnologias de fonte aberta são utilizadas por uma grande comunidade, contribuindo para a sua melhoria ao longo do tempo, razão pela qual a maioria das vulnerabilidades são detectadas e corrigidas rapidamente, para bem da maioria. Por exemplo, o Apache Log4j acima mencionado é uma biblioteca de registo de código aberto utilizada em milhões de projectos Java, incluindo uma percentagem substancial de aplicações empresariais e serviços em nuvem.
Em resumo, a fonte aberta é orientada por um espírito de colaboração, e as empresas que beneficiam de tecnologias de fonte aberta devem também devolver à comunidade.
Caldera e a utilização de tecnologias de código-fonte aberto
Caldera não depende da linguagem Java, pelo que não somos afectados pela quebra de segurança da Log4Shell. Contudo, dependemos de outras tecnologias de código aberto para proporcionar a melhor experiência possível aos nossos utilizadores, e para contribuir para a comunidade de código aberto.
Arnaud Fabre, Gestor de Produto em Caldera, diz “A utilização de programas de qualidade que já foram desenvolvidos, testados e apoiados pela comunidade ou por empresas terceiras permite-nos concentrar na inovação, e acrescentar valor aos nossos sistemas. Por exemplo, confiamos em Artifex’s Ghostscript PDF/PS, que é uma forma de pagar aos programadores dedicados que trabalham num projecto de código aberto.
Ele continua: "Dentro da equipa Caldera , temos vários Linux e peritos de código aberto que contribuem regularmente para a comunidade online. Encorajamo-los activamente a ter contratos com universidades locais para formar os programadores e os contribuintes de fontes abertas de amanhã. Além disso, ao desenvolver software para Linux, temos impacto na nossa comunidade na utilização das próprias tecnologias de código aberto. E finalmente, nós investir sobre várias tecnologias de código aberto como o GitLab para melhorar os nossos processos internos em Caldera" .
Como é que Caldera funciona para melhorar a sua segurança?
Caldera está empenhada em fornecer produtos e serviços que satisfaçam as suas necessidades de produção, tanto em termos de eficiência como de requisitos de segurança.
Alguns exemplos de características de segurança:
- O apoio de plataformas fiáveis (Linux & macOS) para minimizar os riscos
- A possibilidade de bloquear o uso para Admins (root ou sudo users)
- A possibilidade de bloquear a utilização local (com palavras-passe em EasyMedia)
Além disso, o nosso plano de apoio e manutenção CalderaCare ajuda os nossos utilizadores a manterem-se actualizados com todas as últimas actualizações e melhorias, para que possam produzir com paz de espírito.
