Tag: governança

CRA da UE e segurança de código aberto: o que muda (e por quê)

[vc_row][vc_column][vc_column_text]

Do esforço comunitário ao mandato legal

O mundo digital roda em software de código aberto. Ele está nos apps do dia a dia e na infraestrutura que sustenta serviços críticos. Essa onipresença, porém, elevou a régua de segurança. Incidentes como SolarWinds e a falha no XZ Utils evidenciaram que o problema não é teórico. A comunidade open source tem histórico de colaboração e resiliência, mas um novo movimento regulatório está redistribuindo responsabilidades. O Ato de Resiliência Cibernética da União Europeia (CRA) chega para exigir segurança ao longo de todo o ciclo de vida de produtos de hardware e software com elementos digitais comercializados na UE.

Durante décadas, a segurança em open source foi tratada como um esforço compartilhado: mantenedores e colaboradores cuidavam do “rio acima” (upstream), enquanto muitas empresas consumiam componentes e só adicionavam “remendos” perto do lançamento. Essa abordagem tardia limitou a adoção de práticas como segurança da cadeia de suprimentos. O argumento “sempre funcionou assim” ignora um ponto básico: segurança não elimina riscos; dificulta a vida do atacante quando o ataque acontece.

O CRA busca corrigir esse descompasso. A lei define obrigações de segurança por design e por padrão a fabricantes ao longo do ciclo do produto. A aplicação completa está prevista para dezembro de 2027, mas obrigações de reportede vulnerabilidades exploradas e incidentes graves começam já em setembro de 2026. O intervalo entre a publicação dos documentos de implementação e a fiscalização será curto. Portanto, é hora de entender a intenção da lei — e o que ela significa para todo o ecossistema open source.

Responsabilidade compartilhada, de fato

A ambição do CRA é acelerar, em poucos anos, práticas que a indústria vem discutindo há décadas. Ele também joga luz sobre novas obrigações de stewardship (tutela/zeladoria). Pela primeira vez, surge em lei europeia a figura do Open Source Software Steward. Ainda que projetos comunitários, sem monetização direta, fiquem tecnicamente fora do escopo, a prática é mais sutil: sempre que empresas ou indivíduos monetizam tecnologias abertas incorporando projetos upstream, esses projetos passam a orbitar a esfera do CRA — direta ou indiretamente.

Isso tem gerado um choque cultural. Mesmo antes do CRA, alguns projetos recebiam pedidos de “compliance” sem compreensão de como o desenvolvimento aberto funciona. Agora, multiplicam-se solicitações com mentalidade de “checklist” que deslocam o ônus para os mantenedores, em vez de as empresas implementarem os controles de que precisam — ou contribuírem tais melhorias de volta ao upstream. Esse equívoco deturpa o modelo de responsabilidade compartilhada, no qual o adotante de open source deve assegurar a segurança necessária na forma como usa o software.

[/vc_column_text][vc_row_inner][vc_column_inner][us_separator][vc_column_text]

[/vc_column_text][us_separator][/vc_column_inner][/vc_row_inner][vc_column_text]

De padrões desalinhados a um caminho “open source-first”

Profissionais da Red Hat e de outras organizações têm participado da formulação de políticas do CRA (por associações e fundações) e da elaboração de normas técnicas nas ESOs (European Standardization Organizations). Ainda assim, muitos padrões corporativos são complexos, extensos e pagos, o que não se traduz bem ao mundo aberto. Projetos comunitários, com recursos limitados, não conseguem absorver uma “enciclopédia” de requisitos pensados para ambientes centralizados e proprietários — frequentemente baseados em um modelo “caixa-preta” distante da realidade colaborativa e transparente do open source.

Reconhecer as características do desenvolvimento aberto é crucial: colaboração pública, construção por componentes, diversidade de maturidade e a inexistência de “obrigações contratuais” além da licença. Também é preciso encarar o déficit de talentos em segurança e a tensão entre práticas tradicionais (por exemplo, security-through-obscurity) e o ethos de transparência.

Uma resposta pragmática é o Open Source Project Security (OSPS) Baseline: um conjunto de critérios “open source-first” que traduz exigências corporativas em orientações claras, relevantes e aplicáveis por mantenedores e colaboradores. Os Baselines consideram “eras” e perfis de projetos — como são desenvolvidos, governados e distribuídos — para que cada um possa elevar sua segurança respeitando valores e motivações.

Os Baselines não resolvem sozinhos o CRA. Falta ferramental aberto, centrado no desenvolvedor — interoperável — para produzir informações de segurança como metadados de cadeia de suprimentos e SBOM (bill of materials), independentemente do repositório. Com isso, fabricantes e consumidores enxergam o que já foi feito e o que falta no seu contexto. É a chance de continuar o avanço em supply chain security por dois lados: de baixo para cima(comunidade/projeto) e de cima para baixo (padrões/regulação) — de modo significativo, gerando software mais seguro para todos.

Stewardship: transformar ônus legal em oportunidade

O CRA pode elevar a segurança em empresas e no open source. Ele incentiva boas práticas, diligência e reportes ao longo da cadeia, promovendo o diálogo entre todos os atores. O que ele não deve fazer é converter mantenedores em “fornecedores” de empresas comerciais. Usar o CRA para transferir obrigações dessa forma é inadequado

[/vc_column_text][vc_row_inner][vc_column_inner][us_separator][vc_column_text]

[/vc_column_text][us_separator][/vc_column_inner][/vc_row_inner][vc_column_text]

Aqui entra o stewardship. A visão da Red Hat não trata a tutela como fardo, mas como oportunidade positiva — ainda que exija colaboração real com a comunidade tutelada. Leis como o CRA servem de catalisador para priorizar segurança, algo que muitas vezes fica para depois. Na prática, isso significa oferecer suporte sistemático a projetos: canais de divulgação de vulnerabilidades, documentação acessível, e proteção contra demandas externas desalinhadas, trabalhando junto à comunidade para incorporar segurança em design, governança, desenvolvimento e disponibilidade.

A abordagem da Red Hat é comunitária, buscando mínima sobrecarga para os projetos e produzindo materiais e modelos práticos que geram “segurança real”. Essa postura é defendida em ecossistemas como OpenSSF Global Cyber Policy WG e Eclipse ORC WG, entre outros. A meta vai além da conformidade com o CRA: é um convitepara o ecossistema open source agir e se apoiar mutuamente.

Responsabilidade coletiva: participação ativa, não consumo passivo

No open source, consumo passivo nunca foi o ideal. A segurança é uma expectativa compartilhada e dinâmica, que requer participação ativa ao longo do ciclo do produto. Adotantes de open source têm o dever de se engajar e contribuir conforme a cultura e as regras de cada projeto.

Não se trata de apontar culpados, e sim de reconhecer a necessidade de evoluir: sair da segurança “tardia” de ontem para a segurança por padrão exigida por um mundo hiper-dependente. Mantenedores são espinha dorsal do digital. Se recriássemos o open source do zero, o custo estimado seria de US$ 8,8 trilhões (Harvard, 2024). Aproveite o momento para elevar a segurança dos seus projetos nos seus termos — não só por conformidade, mas pela saúde e resiliênciade todo o ecossistema.

[/vc_column_text][/vc_column][/vc_row]

Tags:, , , , , , , , , , , , , , ,

O desafio do valor dos dados na era da IA: como reescrever as regras da sua gestão de dados

[vc_row][vc_column][vc_column_text]Vivemos cercados por dados — logs, métricas, eventos, cliques — e, ainda assim, muitas empresas lutam para converter esse oceano de informações em resultado concreto. Esse desafio do valor dos dados na era da IA ficou mais visível à medida que segurança, observabilidade e analytics se tornaram pilares de resiliência digital.

O volume cresce exponencialmente, os custos pressionam, a conformidade endurece e, no meio disso tudo, o objetivo principal se perde: transformar dados em vantagem competitiva. Uma pesquisa recente da Splunk, em parceria com a Oxford Economics, confirma que a explosão de dados e as exigências de segurança e compliance são hoje os maiores entraves — e que a resposta passa por reescrever as regras de gestão de dados com foco em valor, não apenas em coleta.

Por que a gestão atual não basta

Conforme usuários exigem mais conectividade, digitalização e recursos acelerados por IA, o volume dispara. No levantamento citado, 67% apontam o volume como desafio líder e 69% destacam segurança e conformidade. Os impactos são empresariais: 62% relatam falhas de compliance, 71% má tomada de decisão e 46% desvantagem competitiva quando a gestão de dados falha. Em outras palavras, custos sobem, riscos aumentam e a qualidade de decisão cai, exatamente o oposto do que a IA promete resolver.[/vc_column_text][vc_row_inner][vc_column_inner][us_separator][vc_column_text]

[/vc_column_text][us_separator][/vc_column_inner][/vc_row_inner][vc_column_text]A pesquisa mostra que gestão do ciclo de vida dos dados e gestão de pipelines já compõem a estratégia de grande parte das organizações. Porém, três práticas ainda pouco exploradas ampliam o valor sem inflar a conta: data tiering (armazenar e consultar por valor de negócio), reuso de dados (eliminar redundâncias, incentivar colaboração) e data federation (acessar e analisar onde os dados estão, sem mover tudo).

Embora 92% já possuam algum nível de federação, só 20% implementaram plenamente; o reuso aparece subalocado; e o tiering ainda tem espaço para maturar. O potencial está justamente aí: entender o ecossistema de dados como um portfólio, priorizando acessibilidade e governança de acordo com o valor gerado.

O “trifásico” que rende: federação + pipelines + ciclo de vida

As empresas que combinam federation totalmente implementada com pipelines robustos e lifecycle disciplinado colhem benefícios mensuráveis: acesso mais rápido aos dados e processamento mais eficiente, além de economia relevante de custos frente a seus pares. Esses ganhos transbordam para segurança (redução de MTTR, mais neutralizações de ameaças, menos incidentes) e para ITOps/observabilidade (melhor performance de apps e infraestrutura, monitoramento mais eficaz de processos críticos). O recado é claro: padronize seu fluxo ponta a ponta e deixe a federação habilitar velocidade, governança e escala.

Modelos bons de inteligência artificial precisam de dados bons, e dados bons exigem gestão de ponta a ponta. No estudo, 85% dizem que sua estratégia de dados já provê volume/variedade suficientes; 74% afirmam que ajuda a mitigar vieses; e 73% enxergam na IA um catalisador de qualidade ao automatizar tarefas repetitivas (enriquecimento, limpeza, rotulagem). Ao mesmo tempo, a IA melhora a própria gestão de dados ao aumentar produtividade e reduzir lacunas de processo. É um ciclo virtuoso: gestão de dados fortalece a IA; IA fortalece a gestão de dados.[/vc_column_text][vc_row_inner][vc_column_inner][us_separator][vc_column_text]

[/vc_column_text][us_separator][/vc_column_inner][/vc_row_inner][vc_column_text]

Como sair do discurso e chegar ao ROI (roteiro prático)

Comece pelo mapa de valor: identifique domínios de dados críticos (segurança, observabilidade, negócio), defina KPIs ligados a resultado (MTTR, taxa de falsos positivos, latência de consulta, custo/GB ingerido, SLOs de apps) e classifique conjuntos por valor de negócio, é a base do data tiering. Em paralelo, crie pipelines versionados do source ao consumo (schema, enriquecimento, qualidade, catálogo) e habilite data federation para reduzir duplicação e acoplamento: analise “no lugar” sempre que possível.

Trate governança como produto (políticas, RBAC, mascaramento, linhagem) e integre IA onde ela reduz atrito: automatize normalização, dedup, entity resolution, taxonomias. Por fim, feche o ciclo com telemetria operacional da própria plataforma de dados (custo por workload, SLIs/ SLOs do lakehouse, error budgets) e leve esses números à mesa de produto e risco.

O papel da cultura (e do time)

Ferramentas resolvem parte do problema; o resto é cultura orientada a produto. Dados precisam de product owners, roadmaps e backlogs — não apenas de administradores. Segurança e observabilidade devem trabalhar com produto e finanças para alinhar custos a valor, criando políticas de retenção e acesso que respeitem a realidade do negócio. Só assim o desafio do valor dos dados na era da IA vira uma disciplina repetível, e não um fogo-fátuo de PoCs.

[/vc_column_text][us_separator size=”small” show_line=”1″][vc_column_text]

Como a Fast Lane ajuda
Unimos capacitação (Splunk Observability, Splunk Security, pipelines e governança), arquitetura (federation, tiering, lifecycle) e aceleração de IA para transformar dados em decisão, com segurança e conformidade desde o dia zero.

Referência e inspiração: “AI and the Data Value Challenge: Why It’s Time to Rewrite the Rules of Data Management”, de Mangesh Pimpalkhare (Splunk), publicado em 29/04/2025.

[/vc_column_text][/vc_column][/vc_row]

Tags:, , , , , , , , , , ,