{"id":20919,"date":"2023-03-14T10:39:15","date_gmt":"2023-03-14T13:39:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20919"},"modified":"2023-03-14T10:55:01","modified_gmt":"2023-03-14T13:55:01","slug":"open-source-for-business-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/open-source-for-business-risks\/20919\/","title":{"rendered":"Os pr\u00f3s e contras do c\u00f3digo aberto para empresas"},"content":{"rendered":"

As aplica\u00e7\u00f5es de c\u00f3digo aberto se estabeleceram firmemente nos sistemas de TI de grandes e m\u00e9dias empresas. Dominando segmentos como servidores web, bancos de dados e an\u00e1lises, as solu\u00e7\u00f5es de c\u00f3digo aberto agora tamb\u00e9m s\u00e3o usadas extensivamente para conteineriza\u00e7\u00e3o, aprendizado de m\u00e1quina, DevOps e, \u00e9 claro, desenvolvimento de software. Muitas empresas est\u00e3o migrando para o c\u00f3digo aberto para tarefas n\u00e3o relacionadas a TI, como CRM, produ\u00e7\u00e3o de conte\u00fado visual e publica\u00e7\u00e3o de blogs. De acordo com a Gartner<\/a>, mais de 95% das empresas do setor de TI usam solu\u00e7\u00f5es de c\u00f3digo aberto, mas mesmo entre empresas que n\u00e3o s\u00e3o de TI o n\u00famero est\u00e1 acima de 40%<\/a> \u2013 e crescendo. E isso n\u00e3o inclui os muitos casos em que bibliotecas de c\u00f3digo aberto s\u00e3o usadas em aplicativos propriet\u00e1rios.<\/p>\n

Escolher entre c\u00f3digo aberto e fechado est\u00e1 longe de ser f\u00e1cil: n\u00e3o \u00e9 apenas uma quest\u00e3o de pago versus gratuito, ou suporte versus nenhum suporte. Ao decidir sobre qualquer solu\u00e7\u00e3o de TI, as empresas precisam considerar uma s\u00e9rie de aspectos importantes.<\/p>\n

Custos e cronograma de implementa\u00e7\u00e3o<\/h2>\n

Embora muitas vezes n\u00e3o haja taxa de licen\u00e7a para solu\u00e7\u00f5es de c\u00f3digo aberto, a implementa\u00e7\u00e3o n\u00e3o \u00e9 gratuita. Dependendo da complexidade da solu\u00e7\u00e3o, pode ser necess\u00e1rio gerenciar o or\u00e7amento relativo \u00e0 aloca\u00e7\u00e3o da equipe de TI, contratar consultores especializados ou at\u00e9 mesmo contratar desenvolvedores que adaptar\u00e3o constantemente o aplicativo \u00e0s necessidades do seu neg\u00f3cio.<\/p>\n

H\u00e1 tamb\u00e9m o modelo de licenciamento h\u00edbrido, que permite usar uma edi\u00e7\u00e3o comunit\u00e1ria de um aplicativo gratuitamente, mas a vers\u00e3o estendida com recursos \u201ccorporativos\u201d ainda exige uma licen\u00e7a paga.<\/p>\n

Al\u00e9m disso, muitos produtos de c\u00f3digo aberto n\u00e3o s\u00e3o fornecidos com documenta\u00e7\u00e3o completa e\/ou atualizada ou cursos de treinamento para usu\u00e1rios finais. Para grandes implementa\u00e7\u00f5es, essa lacuna pode ter de ser preenchida internamente, custando tempo e dinheiro.<\/p>\n

A vantagem do c\u00f3digo aberto na fase de implementa\u00e7\u00e3o \u00e9, obviamente, que ele permite testes completos. Mesmo se voc\u00ea planeja implantar uma solu\u00e7\u00e3o desse tipo como hospedagem gerenciada ou com a ajuda de um contratado especializado, realizar um piloto (prova de conceito) por conta pr\u00f3pria \u00e9 muito mais eficaz do que assistir a demonstra\u00e7\u00f5es em v\u00eddeo das pr\u00f3prias solu\u00e7\u00f5es. Voc\u00ea ver\u00e1 imediatamente como a solu\u00e7\u00e3o \u00e9 funcional e aplic\u00e1vel para o seu neg\u00f3cio espec\u00edfico.<\/p>\n

Ao comparar solu\u00e7\u00f5es de c\u00f3digo aberto e fechado antes da implementa\u00e7\u00e3o, \u00e9 importante entender quanto tempo h\u00e1 dispon\u00edvel para testes e se voc\u00ea tem a op\u00e7\u00e3o de alterar o produto em seus est\u00e1gios iniciais. Se os prazos n\u00e3o forem urgentes e a resposta para a segunda pergunta for sim, o teste completo de um produto de c\u00f3digo aberto faz sentido.<\/p>\n

Custo de suporte<\/h2>\n

O suporte di\u00e1rio e a configura\u00e7\u00e3o de muitos aplicativos de c\u00f3digo aberto em escala industrial, bem como sua adapta\u00e7\u00e3o a altas cargas de trabalho, exigem conhecimento altamente espec\u00edfico e aprofundado por parte da equipe de TI. Se isso n\u00e3o estiver dispon\u00edvel, esse know-how ter\u00e1 que ser comprado \u2013 por meio da contrata\u00e7\u00e3o de especialistas ou terceiriza\u00e7\u00e3o. Os tipos mais comuns de terceiriza\u00e7\u00e3o envolvem ajuda especializada espec\u00edfica do aplicativo (formato Red Hat) ou hospedagem gerenciada otimizada para uma solu\u00e7\u00e3o de TI espec\u00edfica (Kube Clusters, WP Engine ou formato semelhante).<\/p>\n

Obviamente, o suporte pago tamb\u00e9m \u00e9 padr\u00e3o para solu\u00e7\u00f5es propriet\u00e1rias; n\u00e3o \u00e9 apenas o c\u00f3digo aberto que precisa disso. Os custos, entretanto, s\u00e3o compar\u00e1veis. Como mostra a pr\u00e1tica, o suporte t\u00e9cnico anual para um aplicativo corporativo t\u00edpico de c\u00f3digo aberto \u00e9 apenas de 10 a 15% mais barato<\/a> do que para solu\u00e7\u00f5es propriet\u00e1rias.<\/p>\n

Corre\u00e7\u00e3o de bugs, novos recursos e dimensionamento<\/h2>\n

Embora as solu\u00e7\u00f5es maduras de c\u00f3digo aberto sejam atualizadas regularmente com recursos expandidos e corre\u00e7\u00f5es de bugs, muitas vezes pode acontecer ocasi\u00f5es nas quais os desenvolvedores n\u00e3o priorizem um bug cr\u00edtico para um determinado neg\u00f3cio. Isso \u00e9 ainda mais comum no caso de solicita\u00e7\u00f5es de recursos. Ou seja, voc\u00ea tem que sentar e esperar pacientemente ou gastar o precioso tempo de seus desenvolvedores (internos ou contratados) escrevendo o c\u00f3digo necess\u00e1rio. O que \u00e9 bom \u00e9 que isso \u00e9 teoricamente poss\u00edvel; o ruim \u00e9 que tal caminho pode resultar em um gasto grande e imprevis\u00edvel.<\/p>\n

Observe que a hospedagem gerenciada elimina a preocupa\u00e7\u00e3o de instalar patches e atualizar aplicativos, mas n\u00e3o pode ajudar com esses ajustes individuais. Uma empresa que tem essa necessidade entra essencialmente no mercado de desenvolvimento, e deve escolher o formato da extens\u00e3o que cria: uma bifurca\u00e7\u00e3o do produto de software principal ou uma adi\u00e7\u00e3o ao ramo de desenvolvimento principal em parceria com os desenvolvedores originais do aplicativo. \u00c9 aqui que entram em jogo os benef\u00edcios estrat\u00e9gicos<\/a> do c\u00f3digo aberto, ou seja, flexibilidade de uso e velocidade de inova\u00e7\u00e3o.<\/p>\n

Integra\u00e7\u00e3o e suporte entre plataformas<\/h2>\n

Para solu\u00e7\u00f5es multicomponentes em larga escala, que trocam dados ativamente, a integra\u00e7\u00e3o e a compatibilidade com diferentes plataformas podem desempenhar um papel importante na escolha do produto de software. A prioridade aqui \u00e9 o suporte de formatos da ind\u00fastria para armazenamento e troca de dados, al\u00e9m de interfaces de programa\u00e7\u00e3o de aplicativos (APIs) bem documentadas. \u00c0s vezes, uma solu\u00e7\u00e3o de um \u00fanico fornecedor com c\u00f3digo-fonte fechado pode atender a esses requisitos melhor do que um monte de solu\u00e7\u00f5es de c\u00f3digo-fonte aberto, mesmo aquelas que s\u00e3o de alta qualidade. Mas \u00e9 sempre \u00fatil estimar o custo de ajustar uma solu\u00e7\u00e3o de c\u00f3digo aberto se ela vencer em outros crit\u00e9rios e tiver passado na fase de prova de conceito.<\/p>\n

Riscos, seguran\u00e7a e compliance<\/h2>\n

Como sempre, a realidade \u00e9 bem mais complicada que isso. Em primeiro lugar, muitos aplicativos de c\u00f3digo aberto t\u00eam milh\u00f5es de linhas de c\u00f3digo, que ningu\u00e9m pode auditar por completo. O grande n\u00famero de atualiza\u00e7\u00f5es desse c\u00f3digo apenas complica ainda mais a tarefa. Dito isto, pequeno n\u00e3o significa seguro. Por exemplo, a vulnerabilidade Shellshock<\/a> baseada em Bash n\u00e3o foi detectada por 20 anos!<\/p>\n

Em segundo lugar, o problema das depend\u00eancias \u00e9 agudo, pois os aplicativos e o c\u00f3digo t\u00eam sua pr\u00f3pria cadeia de suprimentos. Um aplicativo de c\u00f3digo aberto pode usar uma biblioteca de c\u00f3digo aberto de terceiros, que por sua vez vincula-se a outra biblioteca de terceiros, e \u00e9 improv\u00e1vel que aqueles encarregados de verificar o pr\u00f3prio aplicativo analisem todas as bibliotecas. Os riscos dessa cadeia j\u00e1 foram demonstrados v\u00e1rias vezes: uma vulnerabilidade na biblioteca de registro gratuita Log4j<\/a> afetou milhares de grandes solu\u00e7\u00f5es de c\u00f3digo aberto, impactando grandes empresas como Amazon, Cloudflare e Elastic; um ataque substituindo bibliotecas npm por hom\u00f4nimos maliciosos<\/a> funcionou na Apple e na Microsoft; e a decis\u00e3o de um desenvolvedor independente de n\u00e3o oferecer suporte \u00e0 pequena biblioteca left-pad<\/a> no reposit\u00f3rio npm derrubou mais de mil aplicativos e sites populares (incluindo o Facebook) por v\u00e1rias horas.<\/p>\n

\"Depend\u00eancias

Fonte: xkcd.com\/2347<\/a><\/p><\/div>\n

Outro problema com as depend\u00eancias \u00e9 o licenciamento. As licen\u00e7as de c\u00f3digo aberto s\u00e3o bastante espec\u00edficas e nenhum pagamento n\u00e3o significa nenhum detentor de direitos autorais. O pr\u00f3prio aplicativo e suas bibliotecas podem vir com v\u00e1rias licen\u00e7as, e a viola\u00e7\u00e3o das mais r\u00edgidas (Copyleft<\/a>) \u00e9 repleta de lit\u00edgios. Semelhante ao processo bem estabelecido de auditoria de seguran\u00e7a de TI e mitiga\u00e7\u00e3o de vulnerabilidades, os principais usu\u00e1rios e desenvolvedores de software de c\u00f3digo aberto devem ter um processo semelhante para verificar regularmente a conformidade da licen\u00e7a \u2013 idealmente semi-automatizado<\/a>.<\/p>\n

Tudo o que foi dito acima n\u00e3o significa que o c\u00f3digo aberto seja a pior escolha do ponto de vista da seguran\u00e7a da informa\u00e7\u00e3o. Voc\u00ea s\u00f3 precisa entender todos os riscos: a equipe de implementa\u00e7\u00e3o precisa avaliar a cultura de desenvolvimento e a frequ\u00eancia de atualiza\u00e7\u00f5es de seguran\u00e7a em aplicativos contendores e controlar depend\u00eancias e licen\u00e7as (por exemplo, usando uma lista de materiais de software). Al\u00e9m disso, se sua empresa estiver trabalhando no campo de desenvolvimento de software, \u00e9 uma boa ideia verificar todos os pacotes de c\u00f3digo aberto em busca de vulnerabilidades e funcionalidades maliciosas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Os neg\u00f3cios est\u00e3o migrando ativamente para solu\u00e7\u00f5es de c\u00f3digo aberto. Como tal transi\u00e7\u00e3o pode ser feita com sucesso e quais s\u00e3o os riscos a serem considerados?<\/p>\n","protected":false},"author":2722,"featured_media":20920,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[3119,2114,2842,1243,935,776],"class_list":{"0":"post-20919","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-aplicacoes","10":"tag-codigo-aberto","11":"tag-desenvolvimento","12":"tag-economia","13":"tag-negocios","14":"tag-riscos"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/open-source-for-business-risks\/20919\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/open-source-for-business-risks\/25351\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/open-source-for-business-risks\/20792\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/open-source-for-business-risks\/27963\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/open-source-for-business-risks\/25644\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/open-source-for-business-risks\/26073\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/open-source-for-business-risks\/28525\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/open-source-for-business-risks\/34824\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/open-source-for-business-risks\/47442\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/open-source-for-business-risks\/20295\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/open-source-for-business-risks\/25953\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/open-source-for-business-risks\/31666\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/open-source-for-business-risks\/31373\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/codigo-aberto\/","name":"C\u00f3digo aberto"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20919"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20919\/revisions"}],"predecessor-version":[{"id":20925,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20919\/revisions\/20925"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20920"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}