Executando verificação de segurança...
Em resposta a [DISCUSSÃO] Como lidar com segurança em projetos open source?
1
filipedeschamps

Barba, ótima pergunta e nós estamos na mesma situação aqui no TabNews, dado que o repositório é open source.

Eu acredito que no nosso caso o saldo seja positivo, porque estamos facilitando que seja encontrado brechas de segurança tanto para pessoas mal-intencionadas, quanto pessoas bem-intencionadas, e como o projeto tem uma certa popularidade, há uma chance de esbarrar em pessoas bem-intencionadas, onde se o projeto não fosse open source, estas pessoas bem-intencionadas não teriam como contribuir (a não ser que você tenha programas de bug bounty em plataformas como HackerOne, mas é uma operação extremamente cara).

A questão é que você precisa ter um objetivo na escolha de disponibilizar o projeto open source, e tentar atingir esse objetivo. Como esse código faz parte de um serviço sério, não deixe o projeto aberto só por deixar.

Carregando publicação patrocinada...
1
Barba

Acho que, de um ponto de vista mais pragmático, o objetivo de qualquer projeto open source, de modo geral, seria horizontalizar um pouco a forma da construção e do uso de um software. Para quem desenvolve, mas principalmente para quem usa, ter a liberdade de entender como funciona e como pode contribuir para o desenvolvimento daquele projeto. Pelo menos para mim, esse é o objetivo de um projeto open source.

Mas... (heheh) criar uma comunidade que de fato ajude na manutenção desse projeto nem sempre é fácil, e pode levar um tempo para conseguir esse tipo de autodefesa. Concordo plenamente com você, acredito que quanto mais o projeto se mantiver relevante ao ponto das pessoas se disporem a trabalhar em melhorias, mais seguro e coberto esse projeto ficará. Mas sera que indo por essa perspectiva, não correríamos o risco de criar um "acoplamento" com vigilância da comunidade? E se for um projeto menor, que não atraia tantos colaboradores? Seria inviável deixá-lo open source? Será que esconder módulos que lidariam com operações mais sensíveis poderia ferir de algum jeito os princípios de um projeto open source?

Eu não sei as respostas. To tentando estimular o debate! E fiquei muito feliz que você resnpondeu nesse topico! (: