Transcript
00:00:00Bem, é quarta-feira de manhã e deliberadamente não criei um episódio sobre o enorme ataque à cadeia de suprimentos, um novo e enorme ataque à cadeia de suprimentos que aconteceu ontem com mais de 600 pacotes NPM afetados, outro ataque “shy Hulu”, porque não quero falar sobre isso toda semana.
00:00:23Mas então, algumas horas atrás, acordei lendo que o GitHub está investigando a violação de cerca de 4.000 repositórios internos devido ao comprometimento do dispositivo de um funcionário por meio de uma extensão envenenada do VS Code.
00:00:43E estou realmente cansado. Não passa uma semana sem incidentes graves de segurança como este. Na semana passada, tivemos a onda de ataques à cadeia de suprimentos relacionada ao Tanstack, esta semana tivemos outra e agora temos esse ataque ao GitHub e, até agora, pelo que o GitHub divulgou, apenas
00:01:07entre aspas, afetou o repositório deles, a exfiltração de cerca de 4.000 repositórios internos, não repositórios de clientes, nem repositórios privados de clientes, apenas repositórios internos do GitHub, mas, ainda assim, mal passa uma semana sem um novo incidente como este.
00:01:27E quero dizer, então também temos todas essas vulnerabilidades de segurança que estão sendo encontradas, como novamente envolvendo o GitHub, aquela que foi encontrada algumas semanas atrás e que permitiu a execução remota de código.
00:01:38Foi encontrada e corrigida antes que pudesse ser abusada, mas a cibersegurança está obviamente se tornando um problema enorme e eu sei que já falei sobre isso antes e falei sobre o papel da IA e tudo mais, o que é claro que é enorme porque a IA ajuda a encontrar vulnerabilidades de segurança,
00:02:00ajuda a escrever código malicioso, ajuda a executar ataques à cadeia de suprimentos e torna esses ataques muito mais interessantes para os invasores, porque há tantas pessoas novas escrevendo código, há mais código sendo escrito do que nunca, há agentes escrevendo código e instalando pacotes, é o velho oeste por aí agora.
00:02:24É realmente uma linha do tempo irritante, direi isso. Concordo totalmente que você tem que se adaptar ao fato de a IA estar aí, que você tem que aprender a trabalhar com essas ferramentas.
00:02:40E é isso que venho fazendo há muitos meses e é por isso que criei cursos sobre Claude Code ou Codex, mas também recentemente meu colega Manuel criou um sobre o Claude Code, porque queremos compartilhar o que aprendemos sobre essas ferramentas, como as estamos usando, como você pode talvez usá-las para ser mais eficaz e como fazer essa transição da escrita de código tradicional para um desenvolvedor aprimorado por IA.
00:03:03Mas, ao mesmo tempo, vamos ser muito honestos, eu adoraria ter uma linha do tempo mais simples com menos incidentes de segurança, com menos CEOs me dizendo o tempo todo que todo trabalho de colarinho branco acabará em um mês ou mais, mas aqui estamos nós.
00:03:21Aqui estamos nós com outro incidente de segurança hoje e é apenas quarta-feira de manhã, como mencionei, então veremos o que mais acontece pelo resto desta semana.
00:03:30E a única coisa que podemos fazer agora, além de sair do setor, é claro, que é certamente o que alguns desenvolvedores fizeram ou estão considerando, a única coisa que você pode fazer se decidir ficar no setor é, claro, adaptar-se e aprender essas ferramentas de IA, com certeza, mas quando se trata de segurança, levar isso realmente a sério.
00:03:50E sei que também mencionei isso antes em episódios passados, mas é por isso, por exemplo, que criei um vídeo inteiro gratuito no meu outro canal do YouTube, que deixarei linkado abaixo novamente, onde mostro alguns passos básicos que você pode tomar para ter um ambiente de desenvolvimento mais seguro.
00:04:08E isso inclui coisas como usar um gerenciador de pacotes como pnpm ou também o bun como um gerenciador de pacotes que é mais seguro por padrão. Por exemplo, a versão mais recente do pnpm tem uma idade mínima de lançamento de um dia, o que significa que, se você instalar pacotes através dele, ele não puxará pacotes que tenham menos de um dia.
00:04:29Portanto, reduzindo o perigo de ser afetado por ataques à cadeia de suprimentos, já que a maioria deles, mas não necessariamente todos, é claro, você não tem garantia, mas a maioria deles é detectada bem rapidamente, então isso é uma coisa boa e, obviamente, você pode ajustar todas essas configurações.
00:04:44E então, gerenciadores como este, mas também o bun, por exemplo, bloqueiam a execução de scripts que podem estar anexados aos pacotes que você está instalando.
00:04:55E então, é claro, existem outras etapas, como executar em um container de desenvolvimento ou em uma máquina virtual fazendo seu desenvolvimento lá e não armazenar segredos em texto simples na sua máquina.
00:05:05Mas, claro, também é preciso se perguntar para o GitHub como o comprometimento do dispositivo de um funcionário, como parece, pode levar a uma exfiltração de dados em massa como esta, então, obviamente, grandes empresas ou qualquer empresa com mais do que apenas alguns funcionários terá que repensar ou reconsiderar o quão grandes são seus raios de explosão e quanto dano um único funcionário pode causar.
00:05:31E tudo isso acontece em um momento em que, teoricamente, você gostaria de dar aos agentes de IA acesso em massa a todos os tipos de dados para torná-los eficientes, para fazer com que agentes rastreiem vastas quantidades de dados e interajam com todos os tipos de sistemas, então você tem essas realidades conflitantes agora.
00:05:53E a verdade é que você está em grande perigo se não for restritivo quanto a permissões, direitos de acesso, segurança de dados e todas essas coisas divertidas com as quais ninguém se importou por muitos e muitos anos, mas agora está ficando sério, a IA está tornando esses ataques mais fáceis e mais compensadores.
00:06:12Tempos divertidos, tempos divertidos para ser um desenvolvedor, mas ei, provavelmente só pode melhorar, veremos.
Community Posts
No posts yet. Be the first to write about this video!
Write about this video