Protegendo a base do software empresarial: um modelo de referência para o open source
Por Chris Wright, diretor técnico da Red Hat
Salvador, 08/07/2026 – Ultimamente, manchetes dominadas por vulnerabilidades de dia zero impulsionadas por IA têm levantado uma pergunta: o software de código aberto está se tornando arriscado demais para as empresas? Com o open source representando mais de três quartos da base média de códigos empresariais, o questionamento é relevante. Mas a resposta é clara: o software open source permanece intrinsecamente seguro, estruturalmente resiliente e fundamentalmente confiável.
O código aberto, efetivamente, serve como a base de toda a tecnologia moderna, não apenas da TI empresarial, e isso vai muito além do Linux. Servidores de aplicações, bancos de dados, roteamento de rede, ambientes de desenvolvedor e todos os outros componentes invisíveis da nossa estrutura tecnológica são alimentados por projetos open source de alguma forma.
Em resumo, a alternativa ao open source não existe. O software proprietário é o que mais se aproxima disso, sendo de propriedade e controlado por uma única empresa, mas não possui a escala, a variedade e a ubiquidade do código aberto. No software proprietário, o código-fonte é uma caixa-preta. Somente o fornecedor decide o que deve ser corrigido e quando. Quando uma vulnerabilidade é encontrada, ela pode permanecer em segredo, conhecida apenas pelos invasores que a descobriram. Esse modelo pode parecer seguro, mas o risco apenas saiu de vista e se tornou incógnita. O software proprietário permite que as vulnerabilidades se multipliquem na obscuridade.
O open source muda esse cenário ao tornar o código disponível para todos, resumido pelo mantra: “com visibilidade suficiente, todos os bugs são superficiais”. Quando qualquer pessoa pode ler o código, qualquer um pode encontrar e relatar problemas, e isso agora inclui a IA, ampliando massivamente a inspeção dele. E, como tantos grupos dependem de software open source, há uma grande motivação coletiva para resolver vulnerabilidades
Nenhum método de desenvolvimento de software garante um software perfeitamente seguro, mas a natureza transparente e colaborativa do open source apresenta vantagens distintas em relação aos modelos proprietários no combate às ameaças modernas. As empresas sempre foram e continuarão sendo vigilantes quanto às vulnerabilidades à medida que elas são descobertas. O que mudou foi a velocidade. O número de CVEs publicados cresceu mais de 520% desde 2016. Ferramentas de varredura baseadas em IA descobrem vulnerabilidades críticas de dia zero em horas, e não em meses, porém menos de 1% delas são corrigidas. O desafio agora é a capacidade operacional das empresas de absorver e implementar correções com rapidez suficiente.
Esse problema é agravado por uma falha de coordenação. Todas as grandes instituições dependem dos mesmos pacotes básicos de código aberto (Spring Framework, Jackson, Log4j, Pandas e OpenSSL). No entanto, sem coordenação, cada instituição descobre as mesmas vulnerabilidades de forma independente, desenvolve patches isoladamente e mantém versões privadas das quais ninguém mais se beneficia. O resultado é um esforço redundante, a um custo enorme e com qualidade desigual, enquanto o ecossistema geral permanece exposto. Para se manterem seguras, as organizações precisam contribuir com as comunidades upstream, acelerar suas bases operacionais, e fazer isso em conjunto.
O que as empresas podem fazer para começar hoje
O open source continua sendo a base mais segura para a inovação, mas fechar a janela de exposição às ameaças exige ação imediata. Aqui estão medidas simples e práticas que as empresas podem adotar para proteger suas cadeias de suprimentos de software hoje:
● Escolha plataformas respaldadas por fornecedores responsáveis: sua infraestrutura é a base sobre a qual todo o restante opera. Certifique-se de que os fornecedores que a suportam sejam contribuidores ativos dos projetos de código aberto que distribuem. Um fornecedor com um longo histórico de contribuições upstream, backports de segurança e divulgação responsável está comprometido em manter a integridade da comunidade, não apenas de seus negócios.
● Construa um inventário completo de dependências: comece auditando seus portfólios de aplicações para mapear sua linha de base. Identifique cada biblioteca open source, dependências transitórias e versões fixadas atualmente em produção.
● Defina seu tempo de ciclo entre correção e produção: avalie sua realidade atual. Quanto tempo leva, de fato, para que uma correção upstream passe por suas análises de segurança internas, testes, comitês de aprovação de mudanças e pipelines de implantação? Depois de definir esse tempo, estabeleça metas agressivas para reduzi-lo.
● Automatize pipelines de reconstrução e reimplantação: à medida que a janela de exposição diminui de meses para horas, atualizações manuais deixam de funcionar. Prepare seu ambiente para recompilações de aplicações frequentes, determinísticas e automatizadas, para consumir pacotes seguros com velocidade e confiança.
● Utilize ofertas de segurança ativa: adote soluções ativas para a cadeia de suprimentos que forneçam linhas de base com zero CVE e proteção em tempo de execução, como Red Hat Hardened Images, Red Hat Trusted Libraries e OpenShift Advanced Cluster Security, para avançar mais rapidamente.
Acelerando a mudança com o Project Lightwell
À medida que você automatiza seus pipelines para consumir correções mais rapidamente, a IBM e a Red Hat estão construindo um mecanismo de correção projetado especificamente para fornecê-las. Recentemente, lançamos o Project Lightwell, um compromisso conjunto de US$ 5 bilhões, apoiado por uma força global de mais de 20 mil engenheiros, para redefinir a segurança da cadeia de suprimentos de software na era da IA.
O Project Lightwell amplia a metodologia comprovada da Red Hat, desenvolvida ao longo de duas décadas, de realizar backports de correções de segurança de nível empresarial. Estamos estendendo essa rigorosa disciplina de engenharia para além da camada do sistema operacional, alcançando o ecossistema mais amplo de frameworks de aplicações e dependências, começando por Maven/Java e expandindo para PyPI, npm e outros. Ao combinar IA para ingestão de um alto volume de ameaças com engenharia humana especializada, executamos correções exatamente nas versões estáveis que as empresas utilizam em produção, eliminando a necessidade de atualizar cegamente e correr o risco de interromper sistemas.
Sem um mecanismo para que as correções sejam aceitas upstream, cada backport desenvolvido por uma empresa cria um fork privado permanente, que deve ser mantido em todas as vulnerabilidades, atualizações e alterações de dependência subsequentes. Isso aumenta os custos e os riscos da organização. O Project Lightwell rompe esse ciclo: a Red Hat desenvolve a correção, a entrega à empresa e a contribui para o projeto de código aberto de origem. A correção se torna parte da base de código pública.
Essa abordagem está alinhada à direção definida pela recente Ordem Executiva sobre IA e cibersegurança, que orienta a criação de um centro de coordenação de cibersegurança com IA para coordenar a identificação, validação e remediação de vulnerabilidades em infraestruturas críticas. O Project Lightwell foi concebido para servir como uma espinha dorsal operacional do setor privado para essa necessidade.
Juntos para proteger sua empresa e o open source
Proteger a cadeia de suprimentos de software é um desafio coletivo da indústria, que nenhuma empresa consegue resolver sozinha. Por meio do Project Lightwell, estamos colaborando com um grupo importante de líderes dos setores financeiro e de infraestrutura crítica para estabelecer uma câmara de compensação segura.
Essa rede de inteligência colaborativa oferece três recursos que nenhuma empresa pode criar de forma independente. Primeiro, os membros compartilham novas descobertas de vulnerabilidades e recebem patches coordenados antes da divulgação pública, transformando a descoberta isolada em uma defesa compartilhada. Em segundo lugar, cada patch é entregue pronto para produção: assinado criptograficamente, com SBOM legível por máquinas e avisos de segurança para atender aos requisitos de conformidade. Terceiro, e fundamentalmente, o Project Lightwell opera sob o princípio de upstream-always. Todas as correções que desenvolvemos são enviadas de volta aos projetos open source de origem. Ao trabalharmos juntos nesse centro de informações, não estamos protegendo apenas empresas individualmente; estamos sistematicamente trazendo os avanços de segurança à comunidade, mantendo o código aberto seguro para todos.
O open source construiu a empresa moderna. A vigilância coordenada e o Project Lightwell ajudam a manter esse código seguro, corrigindo-o mais rapidamente, como uma única comunidade, de forma aberta.





