A OpenSSF anunciou novas adesões e iniciativas para reforçar a segurança do software livre, destacando a urgência de traduzir normas internacionais em práticas que funcionem no dia a dia dos desenvolvedores, enquanto líderes do setor criticam empresas que se beneficiam de projetos open source sem contribuir para sua manutenção.
A OpenSSF anunciou a entrada de novos membros que se unem à fundação para fortalecer a segurança do ecossistema open source.
O avanço reflete duas pressões convergentes: regras de segurança cada vez mais obrigatórias e a necessidade de alinhar organizações e países a esses padrões.
A fundação vem ampliando recursos práticos para ajudar membros a lidar com requisitos complexos como a EU Cyber Resilience Act e iniciativas similares em outros países.
Os participantes afirmam que a proteção da cadeia de suprimentos de software precisa acontecer onde os desenvolvedores de fato trabalham: repositórios, gerenciadores de pacotes e ferramentas de desenvolvimento.
Willem Delbare, da Aikido Security, destaca que a solução não está em dashboards, mas dentro dos fluxos de trabalho dos desenvolvedores, como CI/CD, builds de container e comandos no terminal.
Ele aponta que ameaças modernas exploram dependências, contaminar pacotes e comprometer contas de mantenedores, por isso a prevenção ativa é essencial.
“Muitas empresas se recusam a participar ativamente do suporte ou da manutenção dos projetos que usam para enriquecer… Isso não é apenas moralmente repugnante, mas também míope e péssima prática de negócio.”
Kat Cosgrove, da Minimus, critica abertamente empresas que se beneficiam do open source sem contribuir e reforça que essa postura é tanto ética quanto comercialmente falha.
Ela acrescenta que é obrigatório garantir que os mantenedores disponham de ferramentas para proteger seus projetos, permitindo o uso seguro em ambientes de produção.
Leslie Pascual, da ActiveState, também afirma que a segurança precisa aparecer exatamente nos lugares onde os engenheiros trabalham: repositório, build, fluxo de pacotes, container e linha de comando.
Para quem trabalha com nível de kernel e sistemas, esses pontos são limites de confiança da infraestrutura e exigem workflows que realmente funcionem na prática.
Igor Seletskiy, da TuxCare, lembra que cada pacote traz dúvidas sobre sua origem e composição, e responder a isso demanda coordenação de todo o ecossistema.
A FreeBSD Foundation reforça que, como componente crítico da infraestrutura digital, precisa estar na mesa onde se desenham as futuras normas de segurança do open source.
Além das adesões, a OpenSSF anunciou iniciativas técnicas, programas de embaixadores e novos projetos em sandbox, ampliando o conjunto de ferramentas práticas para desenvolvedores.
A mensagem comum é que manter a segurança do open source envolve colaboração, integração de ferramentas ao fluxo cotidiano dos engenheiros e responsabilidade das empresas que dependem desses projetos.
