Linus Torvalds, o principal responsável pelo desenvolvimento do Linux, expressou a sua frustração com a quantidade de relatórios de segurança gerados por ferramentas automatizadas. De acordo com a sua mais recente atualização sobre o estado do sistema, detalhada na lista de correio do kernel e avançada pelo The Register, a enchente contínua de relatórios baseados em inteligência artificial tornou a lista de segurança praticamente ingovernável.
O problema da duplicação de falhas
O grande obstáculo não está na tecnologia em si, mas na forma como é utilizada. Torvalds explica que existe uma duplicação enorme porque várias pessoas estão a usar as mesmas ferramentas para encontrar exatamente as mesmas falhas. Como resultado, submetem relatórios idênticos que apenas geram trabalho desnecessário para a equipa que gere o kernel. O programador sublinha que as vulnerabilidades detetadas por IA não são segredos e mantê-las numa lista privada é uma perda de tempo que agrava o problema da duplicação, uma vez que os investigadores não conseguem ver os avisos uns dos outros.
No entanto, existe uma exceção à regra. Esta crítica não se aplica a descobertas de grande impacto, como a falha conhecida por Copy Fail, que foi detetada com o auxílio destas ferramentas e afetou quase todas as distribuições do sistema operativo.
Qualidade acima de quantidade
Para Torvalds, as ferramentas automatizadas são excelentes quando realmente ajudam, mas não quando causam dores de cabeça com trabalho inútil. O apelo à comunidade é claro: quem quiser acrescentar valor deve ler a documentação e criar uma correção para acompanhar o aviso, em vez de enviar relatórios aleatórios sem qualquer compreensão real do problema.
Esta posição é partilhada por outras entidades da indústria. Jarom Brown, engenheiro sénior de segurança de produto do GitHub, respondeu a uma vaga semelhante de submissões recentemente. O responsável afirmou que a plataforma não tem qualquer problema com o uso destas tecnologias, mas exige que as descobertas sejam validadas. Uma submissão com uma prova de conceito funcional e reproduzida é considerada excelente, ao passo que um resultado não validado submetido de forma direta não tem utilidade. Brown incentiva os investigadores a darem prioridade à profundidade em vez do volume, lembrando que uma falha bem investigada e validada vale mais, tanto em reputação como em recompensas, do que dez relatórios meramente especulativos.
Nenhum comentário
Seja o primeiro!