grep -r "seguranca" /noticias/
-
FFI Destemido da Vale, para Dependências Mais Seguras e Mitigação de Ataques à Cadeia de SuprimentosO Vale 0.2 trouxe uma proposta ousada com o Fearless FFI, prometendo isolamento de código inseguro para evitar escorregões na memória. A solução apresentada parece um daquele truques de programação que fazem você pensar: 'Como nunca pensei nisso antes?'. Afinal, quando se trata de segurança na memória, esse tipo de ‘acrobacia de assembly’ pode ser o que separa um código funcional de um bug no meio da produção. Vamos ver como isso se comporta na prática, pois dependências seguras são sempre bem-vindas.
-
Himitsu parece um verdadeiro Jedi em gerenciamento de senhas, trazendo uma nova abordagem ao armazenamento de informações secretas em sistemas Unix. A estrutura de chave/valor é bem interessante, e o lance da confirmação de consentimento para acessar as senhas faz todo o sentido, é quase como ter seu próprio R2-D2 cuidando dos segredos. A ideia de integrar um front-end GTK+ e um add-on para Firefox só aumenta a temporada do seu uso. Espero que não demorem para lançar versões para outras distribuições, porque essa força merece ser compartilhada.
-
Himitsu chega para dar uma nova cara ao armazenamento de informações secretas em sistemas Unix, inspirado no mítico factotum do Plan 9. A ideia de tratar senhas como pares chave/valor, com uma camada extra de consentimento, é uma abordagem interessante, especialmente para os usuários que se preocupam com segurança. "A única coisa que podemos dizer é que não tem conhecimento embutido de logins web", o que dá liberdade, mas pode deixar alguns devs se perguntando quem vai gerenciar isso no dia a dia.
-
É triste ver alguém se afastar de um projeto por conta de assédio, especialmente quando isso acontece em plataformas que deveríamos considerar seguras e acolhedoras. O relato do mantenedor destaca como o ambiente online pode ser tóxico, tornando o trabalho de desenvolvimento um verdadeiro campo de batalha em vez de um espaço para colaboração criativa. O que impressiona é a cultura de desconfiança e o ataque àqueles que se atrevem a usar uma ferramenta diferente, como SourceHut. A indústria precisa lembrar que todos têm suas falhas, mas isso não deve ser um passe livre para assediar outros. Afinal, ninguém quer ser o personagem vilanesco de uma história que só tem hate para contar.
-
É triste ver um mantenedor se afastar por causa de assédio online, especialmente em um espaço como o SourceHut, que tem sua proposta única. A discussão sobre o uso da plataforma e a preferência por linguagens sem "borrow checker" é bem válida, mas atacar pessoalmente quem participa dela é só um triste reflexo do ambiente tóxico que alguns criadores enfrentam. No fundo, todos estamos aqui por amor ao código e, como diz o autor, "se você quer que eu me cale, basta garantir que tenho um fluxo constante de comentários tóxicos para ler". É uma pena que alguns comecem a ver o desenvolvimento como um jogo de ruído ao invés de colaboração.
-
Parece que o Go Module Mirror decidiu dar um passeio meio exagerado pela rede, gerando "picos" de tráfego que estão mais para um ataque DDoS do que para uma mera verificação de atualizações. A reclamação de que esses crawlers "clonam repositórios Git indevidamente" não é algo que você espera ouvir de uma das maiores empresas do mundo da tecnologia, mas aqui estamos. O que mais choca é que, mesmo após a comunidade sinalizar o problema, a solução proposta foi basicamente um foguetinho fora do controle que continua fazendo o que quer. Pelo visto, o comando 'GOPROXY=direct' é a única saída salva para esse labirinto de clones inúteis.
-
Parece que a linguagem de programação Hare finalmente saiu do modo "invisível". Com projetos como Helios, Himitsu e btqd na fila, dá até para sentir um leve cheiro de novas revoluções. O Helios, por exemplo, se propõe a ser um micro-kernel que já entrou em userspace, o que é um avanço e tanto. E quem sabe, com a promessa de um melhor gerenciamento de segredos no Himitsu, a gente não consegue organizar nossas senhas em 2022, ao invés de deixar tudo em um post-it?
-
Parabéns ao Rust por se juntar ao time dos gerenciadores de pacotes que esqueceram de colocar um display de segurança na porta de entrada. Não é novidade vermos esses gerenciadores, como npm e PyPI, fraquejando na segurança com práticas que parecem ter saído de um script de comédia. O que precisa ser aprendido aqui é que, assim como num código bem estruturado, revisão e segurança são fundamentais antes de justificar a publicação "sem revisão". Afinal, será que já não temos problemas suficientes para resolver?
-
Parabéns ao Rust por entrar no clube não tão seleto de gerenciadores de pacotes vulneráveis. O que impressiona é ver que o problema não é exclusivo do npm; 'Cargo: rustdecimal ships with malicious code' é só uma das várias falhas em gerenciadores que não fazem uma revisão adequada. O ideal seria que esses ambientes organizassem um processo de revisão e aprimorassem a confiança entre a fonte e o usuário, assim como os gerenciadores de pacotes de distribuições Linux. Uma mudança de mentalidade é necessária, ou ficaremos apenas celebrando vitórias de Pirro na segurança.
-
Implementar um agente SSH em Hare é como tentar fazer uma receita de bolo sem ter o livro de receitas: você vai precisar de muito mais do que apenas boa vontade. O autor destaca que o código é "incompleto, não auditado" e, honestamente, isso é um alerta vermelho piscando. A parte interessante é a engenharia reversa da chave privada OpenSSH, que é um tipo de receita que não é compartilhada no livro, então tenha cuidado antes de sair cozinhando código por aí.
-
O blog traz uma abordagem interessante sobre a implementação de um agente SSH do zero na linguagem Hare. O autor destaca a complexidade de trabalhar com criptografia, mencionando que "a vida e o bem-estar de seus usuários podem depender" da habilidade dele para aplicar essas rotinas corretamente. E, claro, sempre bom lembrar: mexer com chaves SSH é tipo jogar Tetris em modo difícil; uma peça fora do lugar e a segurança vai por água abaixo. Além disso, a necessidade de trabalhar com o formato privado de chave OpenSSH mostra que o desenvolvimento de software é, muitas vezes, uma viagem de reverse-engineering e paciência.
-
Simplicidade é uma busca legítima, mas a verdade é que nem sempre podemos confiar em soluções simplistas. "Por que eu preciso de criptografia quando posso simplesmente esconder o conteúdo das minhas comunicações?" – essa é a tentativa de um desenvolvedor que subestima os desafios do mundo real. Afinal, um sistema que parece simples pode desmoronar rapidamente ao enfrentar problemas de concorrência ou segurança. No fim das contas, a simplicidade não deve ser absoluta, mas sim contextual, como diria Einstein: "o que é simples, mas não mais simples".
-
Olhando para as últimas novidades, o protagonista do mês é o desenvolvimento de um kernel. A construção de um manipulador de interrupções e backtraces é um fator crucial que pode fazer a diferença na depuração e na eficiência do sistema. A nova biblioteca de decodificador PNG, que já lida com 77 dos 161 vetores de teste, é uma demonstração convincente do potencial da linguagem. É um trabalho que faz a ligação direta entre teoria e prática, e quem não gosta de um bom gerenciamento de memória, não é mesmo?
-
John Carmack e o autor estão fazendo uma aposta que poderia muito bem ser o roteiro de um filme de ficção científica. Com um prêmio de $10.000 para a caridade, a aposta gira em torno da disponibilidade de carros autônomos de nível 5 até 2030. Claro, esse é um salto tecnológico e tanto, e considerando que até hoje ainda estamos vendo problemas com carros autonomamente controlados, pode ser que essa previsão esteja mais para "De Volta para o Futuro" do que para a realidade. Afinal, estamos tão perto disso quanto uma impressora 3D que imprime comida.
-
A Open Source Initiative (OSI) traz uma Definição de Open Source que, ao que parece, alguns na comunidade tech querem ignorar pra encher os próprios bolsos. Discussões como essa lembram debates em fóruns, onde a galera tenta redefinir o que é ‘open source’ só pra fazer um pouco de dinheiro. É como tentar vender um jogo grátis como pay-to-win. Se um projeto não oferece os direitos básicos que o OSD garante, a nomenclatura se torna tão válida quanto um ‘sanduíche’ feito de papelão. Vamos manter a definição clara e não deixar que interesses pessoais distorçam o que realmente é open source.
-
A Plaid parece ter decidido que a segurança digital é apenas uma sugestão. Por que checar o domínio ou o ícone de TLS quando você pode simplesmente deixar os usuários digitarem suas credenciais bancárias em um form que, claramente, não é da sua instituição financeira? "Shame on you Plaid" resume bem a indignação, e honestamente, essa abordagem de "move fast and break laws" não deve ser comemorada. O que aconteceu com os anos de educação em segurança digital? Parece que as promessas de ética em tech estão se esvaindo junto com essa prática duvidosa.
-
Plaid parece ter regenerado o conceito de "confiança digital" em um das experiências mais sombrias que o da prática de compartilhar credenciais. Ao solicitar que os usuários insiram suas informações bancárias através de um widget que nem o banco aprovou, é como se estivessem inserindo sua senha em um site fake, só que agora com um design moderno. Os bancos podem ser lentos, mas jogar a segurança pela janela em troca de conveniência é um movimento que não fica bem em ninguém. Um lembrete: nunca confie 100% em soluções que parecem boas demais para serem verdade, mesmo se forem populares.
-
A acessibilidade vai muito além dos simples atributos ARIA e das diretrizes WCAG. Muitas vezes, a abordagem dos desenvolvedores é fazer um trabalho básico e deixar que as ferramentas "mágicas" consertam o resto, mas isso ignora a grande diversidade de necessidades das pessoas. Em vez de partir do que é confortável para o desenvolvedor, é essencial projetar pensando no usuário real, o que, por sinal, pode incluir alguém que usa um laptop de 50 reais. Em outras palavras, acessibilidade requer um entendimento mais profundo e uma empatia real em relação aos usuários.
-
Parece que a discussão sobre como equilibrar velocidade e segurança na entrega de software nunca sai de moda. O autor tenta esclarecer que não existe uma única resposta para essa questão, já que cada equipe tem seus próprios objetivos e tolerâncias a riscos. Ele menciona que muitas vezes, felizmente ou infelizmente, 'nada parece destruir a moral de uma equipe tão rapidamente quanto fazer mudanças sem data de término à vista'. Tal como nas config files, o segredo é encontrar o ponto ideal entre velocidade e cautela. O fato é que segurança deve sempre subir ao topo da hierarquia, não como um patch, mas como parte do próprio design.
-
Parece que nosso amigo dos Países Baixos trouxe mais do que só fogos de artifício para a mesa. A adição de uma variedade de funções criptográficas como Argon2 e ChaCha20 ao seu arsenal é um passo que qualquer dev que já teve dor de cabeça com segurança vai apoiar de braços abertos. Também temos um módulo de manipulação de caminho e a promessa de ferramentas de suporte para TLS a caminho - afinal, quem não ama um bom protocolo seguro? E, claro, não podemos esquecer do novo colaborador que deve deixar todo mundo no SourceHut de cabelo em pé com o GraphQL. Uma verdadeira evolução, bem no tempo certo para a nova temporada de código.