Além de outras ferramentas como testes unitários e analisadores de código, para ajudar a mitigar que códigos defeituosos subam para produção, a Revisão de Código (ou Code Review) pode ser adotada como uma “ferramenta” que além de ajudar a termos um código com mais qualidade, também traz outros benefícios para um time de desenvolvimento.

O que é a revisão de código?

A revisão de código nada mais é um processo em que outros membros do time de desenvolvimento olham e revisam um código antes de que ele siga no ciclo de vida do desenvolvimento.
Da mesma forma que em editoras de livros e jornais existe o papel do revisor de texto, que busca por erros tanto nos textos quanto nas publicações de forma geral, todo o time de desenvolvimento deve assumir essa função para revisar todo e qualquer código.

O objetivo não é achar defeitos simplesmente para criticar ou rebaixar o trabalho da pessoa que fez o desenvolvimento, mas sim para que o código tenha uma segunda verificação buscando erros que tenham passado despercebidos, ou melhorias que podem sem implementadas gerando discussões interessantes e valiosas entre os desenvolvedores.

Isso é geralmente feito utilizando-se de Pull Requests (ou PRs), que são solicitações para juntar um código alterado com o código já existente no repositório.
Praticamente todas as ferramentas de versionamento de código modernas que são baseadas no Git (como o GitHub, GitLab, Bitbucket e AzureDevOps) permitem a criação de PRs e, por consequência, facilitam a revisão de código.

Usualmente, um PR só pode ser finalizado após ter um número pré-determinado de revisores aprovando aquele código, e esse número costumeiramente é determinado pelo próprio time de desenvolvimento em consenso.

O que não fazer na revisão de código

Antes de falar alguns pontos que podemos considerar durante a revisão de código, vamos começar falando do que idealmente não devemos fazer ao olhar um PR. Esses são pontos importantes pois podem acabar tomando a atenção do revisor, tirando o foco do que realmente importa.
As pessoas que fazem parte do time de desenvolvimento não vão ter o dia todo disponível para fazer revisão de código, então saber o que evitar ajuda a agilizar o processo.

O que não devemos fazer:

• Adicionar um comentário qualquer só com o objetivo de mostrar que você revisou o código;
• Olhar partes já existentes do código e que não foram alteradas naquele PR (se perceber algum problema em outra parte do código, avise o time e trate de forma separada ao código que está sendo revisado);
• Verificar se o código está compilando. A ferramenta de integração contínua deve fazer isso;
• Verificar se os testes estão rodando e se estão passando. A ferramenta de integração contínua também deve fazer isso;
• Verificar se a formatação do código está correto, ou se o estilo de codificação está sendo seguido. Existem ferramentas que devem ser utilizadas para garantir isso de forma automatizada, sem a necessidade de revisão humana.

O que fazer na revisão de código

Sabendo os pontos que devemos evitar, quais pontos devemos prestar atenção e de fato considerar ao fazer uma revisão de código?

• Verifique se o código está fazendo exatamente o que ele se propõe a fazer;
• Verifique que o código não está fazendo algo que não deveria fazer;
• Confira se nenhum bug ou problema está sendo introduzido e que possa causar problemas futuros;
• Verifique se efeitos colaterais em outras partes do sistema estão sendo considerados;
• Garanta que você estará de acordo em dar manutenção naquele código no futuro;
• Confira se nenhum caso específico ficou de fora dos testes automatizados;
• Observe se as boas práticas de desenvolvimento estão sendo seguidas (como SOLID e/ou Clean Code);
• Garanta que qualquer pendência ou débito técnico gerado por aquele desenvolvimento tenha sido documentado adequadamente para que não se perca.

Utilizando esse princípios já podemos começar a ter um processo de revisão de código mais eficiente e eficaz.
E é claro que essas não são listas completas e definitivas sobre revisão de código, mas podem servir como um norte para quem não tem muita experiência com esse processo, e servir de ponto de partida para que sejam refinadas de acordo com as necessidades de cada projeto.

Revise mesmo um PR tenha sido finalizado

Muitas vezes quando vamos olhar um PR ele já foi revisado, aprovado, e está finalizado. Em vez de simplesmente “deixar pra lá”, ainda assim faça a revisão daquele código.
Se encontrar alguma coisa que ache pertinente reportar, adicione um comentário mesmo assim ao PR, ou fale diretamente com o desenvolvedor ou o time responsável para que o que você identificou possa ser discutido e tratado posteriormente.

Mesmo com a revisão de código ainda podem passar problemas que não foram observados pelos revisores, então quanto mais gente olhando, melhor.

Outros benefícios de se fazer a revisão de código

Além dos pontos já mencionados de que a revisão de código ajuda a encontrar e a mitigar que erros cheguem no ambiente produtivo, um processo de revisão de código bem feito também traz outros benefícios para um time de desenvolvimento.

Ajuda a contextualizar todo o time

Em empresas com mais de um time de desenvolvimento é muito comum que cada time possua as suas responsabilidades e que se fechem dentro delas, criando os chamados silos de conhecimento.
Nesses casos é ideal que a revisão de código possa ser feitas por qualquer pessoa desenvolvedora de qualquer time, mesmo de outros contextos.
Isso ajuda que um time fique sabendo no que os outros times estão trabalhando, melhorando a integração entre todos, aumentando as trocas de experiências e o reaproveitamento de soluções.

Ajuda no aprendizado

Se você é um programador em início de carreira, ou com pouca experiência em uma linguagem, não se intimide com a revisão de código.
Tente entender o que está sendo feito, questione, proponha melhorias. Isso vai ajudar no seu desenvolvimento em programação.

E do outro lado, se você é um programador experiente, não ignore questionamentos feitos no seu código, mesmo que eles sejam “bobos” ou não façam tanto sentido.
Tente explicar as motivações do porque algo foi feito de determinada forma. Você estará contribuindo com o desenvolvimento do time, melhorando a qualidade do código e do trabalho de todos no projeto.

Difunde boas práticas de programação e padronizações

Nada melhor para difundir uma prática de programação, uma nova arquitetura ou padronização do que mostrando na prática, e com a revisão de código isso é possível e ocorre naturalmente.
Você tem a oportunidade de mostrar ou propor um novo padrão, trazendo outros desenvolvedores a participarem de uma discussão de forma mais clara, já que o código vai estar lá para que todos vejam, mostrando a implementação e demonstrando seu funcionamento.

Nos faz mais conscientes do nosso código

Quando desenvolvemos sabendo que outras pessoas olharão aquele código depois isso pode fazer com que prestemos mais atenção no que está sendo feito, para garantir que aquele código está de acordo com o esperado, seguindo todas as melhores práticas.
E por outro lado também pode nos dar mais segurança no que estamos fazendo, já que terão outras pessoas olhando e conferindo por possíveis erros que possam ter passado despercebidos.

Como falado anteriormente, a revisão de código não deve servir para criticar ou achar defeitos no código com o objetivo de diminuir a pessoa que escreveu aquilo, mas sim para que todos assumam a responsabilidade do que está sendo feito, já que um projeto não é feito individualmente, mas sim pelo conjunto e contribuição de todos e todas.

Por ser um software proprietário, hoje já é cobrado um valor no modelo de licenciamento anual para uso do editor deles, com diversos planos diferentes para pequenas e grandes equipes (incluindo planos gratuitos). Mas na última terça feira (12/09) a empresa anunciou uma nova cobrança, dessa vez uma taxa para cada vez que o jogo fosse instalado, incluindo reinstalações no mesmo dispositivo. Simples assim, sem discussões prévias, sem dar mais detalhes de como seria o controle, só definindo algumas regras básicas de número de instalações ou número de receita mínimos para começar a valer essa nova cobrança. Essa taxa valeria até para jogos já existentes e disponíveis no mercado, não somente novos lançamentos.

Com isso várias empresas desenvolvedoras de jogos e desenvolvedores individuais se manifestaram contrários a decisão, ameaçando despublicar seus jogos e anunciando que migrariam para outros motores de jogos. A revolta não foi somente pela cobrança em si, mas também pela forma que isso foi anunciado e pela falta de transparência por parte da empresa.

E isso me fez pensar nos outros impactos que essa decisão traz, olhando por uma perspectiva do mercado de tecnologia e de desenvolvimento.
Existem pessoas que se especializaram em Unity (que utiliza o C# como linguagem de programação), estudaram e desenvolveram suas carreiras em cima dessa tecnologia, e simplesmente por decisão unilateral da empresa, podem acabar tendo de migrar de carreira.

Já vimos isso acontecer de certa forma por exemplo com o Docker Desktop, que de uma hora pra outra passou a ser um software pago para uso empresarial.
Nessa caso a engine do docker ainda continuou gratuita (por ser de código aberto), então o impacto foi menor, mas mesmo assim tivemos que buscar alternativas para substituir o Docker Desktop para continuar com uma interface gráfica para gerenciamento de containers.

Ao meu ver isso mostra um pouco o “perigo” do uso de programas proprietários. Imagina se o GitHub resolvesse começar a cobrar por cada download de repositório ou por cada commit? Ou o Figma decidir começar a cobrar por cada vez que um projeto for visualizado? Ou se o Jira adicionar uma taxa por cada task aberta? Teoricamente as empresas poderiam fazer isso, já que os programas são proprietários e as empresas controlam seus termos de uso.

O quão vulneráveis nós somos a esse tipo de ação por parte das empresas que detém esses softwares proprietários que acabam ficando enraizados no nosso fluxo de desenvolvimento?

Eu pessoalmente advogo bastante pelo uso de software livre, mas nem sempre isso é possível, principalmente porque alguns softwares proprietários acabam se tornando o padrão de mercado e as vezes existem poucas alternativas de código aberto tão robustas.

Quais cuidados podemos ter, como desenvolvedores e profissionais de tecnologia, para evitarmos sofrer com esse tipo de situação?
Falando especificamente do Unity, a empresa acabou revendo em partes algumas das medidas depois de toda a revolta, mas imagino que o dano tenha sido permanente. Quem vai voltar a confiar na empresa depois dessa?

A inteligência artificial (IA) tem avançado a passos largos nas últimas décadas, e uma das mais impressionantes conquistas nessa área é a criação de sistemas de IA geracionais, como o ChatGPT. Essas poderosas ferramentas têm o potencial de revolucionar a interação entre humanos e máquinas, gerando impactos significativos em diversos setores da sociedade. Neste artigo, exploraremos como as IA geracionais funcionam, seus benefícios para a sociedade, o futuro dessa tecnologia e as questões negativas, como os desafios relacionados aos direitos autorais.

IA Geracionais: Como Funcionam?

As IA geracionais, como o ChatGPT, são sistemas baseados em redes neurais profundas que foram treinados em grandes volumes de texto para gerar respostas coerentes e relevantes para uma ampla variedade de perguntas e comandos. Esses sistemas são capazes de analisar e compreender o contexto da interação com os usuários, utilizando técnicas avançadas de processamento de linguagem natural.

Através de um processo de treinamento supervisionado, utilizando grandes quantidades de dados textuais, os modelos geracionais aprendem padrões linguísticos e são capazes de gerar respostas a partir desse conhecimento prévio. Essas respostas são criadas com base em probabilidades estatísticas, combinando palavras e frases que foram encontradas com maior frequência durante o treinamento.

Benefícios para a Sociedade

As IA geracionais trazem uma série de benefícios para a sociedade. Uma das principais vantagens é a capacidade de fornecer informações e assistência em tempo real, 24 horas por dia, 7 dias por semana. Com a disponibilidade constante dessas ferramentas, os usuários podem obter respostas rápidas e precisas para suas dúvidas e problemas, seja em áreas como saúde, educação, atendimento ao cliente ou suporte técnico.

Além disso, as IA geracionais podem desempenhar um papel crucial na democratização do conhecimento. Ao oferecer acesso a informações e recursos de alta qualidade, independentemente do nível de educação ou localização geográfica, essas tecnologias ajudam a reduzir a lacuna de conhecimento e a promover a inclusão digital.

O Futuro das IA Geracionais

O futuro das IA geracionais é promissor e cheio de possibilidades. À medida que a tecnologia avança, espera-se que esses sistemas se tornem cada vez mais sofisticados e capazes de lidar com uma variedade ainda maior de tarefas complexas. A integração de IA geracional em dispositivos móveis e assistentes virtuais também é uma tendência crescente, permitindo interações mais naturais e personalizadas.

Além disso, a combinação de IA geracional com outras tecnologias, como a realidade virtual/aumentada e a internet das coisas, pode levar a avanços significativos em campos como jogos interativos, educação imersiva e assistência em tempo real em diversas áreas profissionais.

Questões Negativas e Desafios

Apesar dos inúmeros benefícios, as IA geracionais também apresentam questões negativas e desafios. Um dos principais problemas é a disseminação de desinformação. Devido à sua capacidade de gerar texto coerente, as IA geracionais podem ser usadas para espalhar informações falsas e prejudiciais. Esforços contínuos devem ser feitos para desenvolver mecanismos de verificação e filtragem de conteúdo confiável.

Outro desafio é o aspecto dos direitos autorais. Como os modelos geracionais são treinados em grandes volumes de dados textuais, existe a preocupação de que a geração de texto possa violar os direitos autorais de terceiros. A definição de responsabilidades e direitos legais em relação ao uso dessas tecnologias é uma questão complexa que requer discussões e regulamentações adequadas.

Conclusão

As IA geracionais, exemplificadas pelo ChatGPT, representam um avanço notável na área de inteligência artificial. Essas ferramentas têm o potencial de transformar a sociedade, fornecendo acesso a informações e assistência instantânea. No entanto, é fundamental abordar questões negativas, como a desinformação e os direitos autorais, para garantir o uso ético e responsável dessas tecnologias. À medida que a IA geracional continua a evoluir, é essencial buscar soluções colaborativas que beneficiem a sociedade como um todo.

Notou algo de diferente até aqui?

Esse texto todo até aqui, incluindo o título, cada secã́o e subtítulos, foram todos gerados no próprio ChatGPT a partir do meu pedido. Você teria percebido se eu não tivesse falado?

Tirando a profundidade do conteúdo, que ficou um pouco raso, aposto que o texto conseguiria passar despercebido pela internet sem maiores problemas. Até mesmo antes das IA nós já tínhamos um problema de conteúdos na internet que muitas vezes são criados apenas para “caçar cliques” e já não se aprofundavam muito nos conteúdos, e agora temos as IA generativas agravando esse problema, permitindo gerar muito mais conteúdo de forma muito mais rápida.

O quanto de conteúdo será que temos visto hoje que já não deve estar sendo gerado por IA, seja na internet, em revistas/jornais, e até mesmo roteiros de programas, filmes, etc? Sem contar outros tipos de IA que tem surgido, para geração de imagens, de músicas, para programação, etc.

E como as próprias IA utilizam o conteúdo da internet para seus treinamentos e modelos, se esse tipo de conteúdo infestar os sites, blogs e artigos, o quanto esses modelos poderão ficar enviesados, entrando em um ciclo de autoalimentação?

E também levando em consideração que é uma empresa privada que controla esses modelos, o quanto ela conseguiria manipular as informações geradas para benefício próprio, ou para seguir alguma “linha editorial” de um patrocinador?

Como o próprio texto gerado fala, a disseminação de desinformação é um grande desafio desse tipo de tecnologia. Muitas pessoas hoje já acreditam em qualquer informação divulgada sem checar a veracidade do conteúdo ou a sua fonte, então imagine o nível de confiança que essas pessoas não terão simplesmente porque foi uma IA que gerou o conteúdo, independente de qual seja.
E se a IA for alimentada e treinada com grandes volumes de textos com informações falsas, como ela vai poder distinguir para não perpetuar essas informações erradas?

Apesar da IA e modelos geracionais não serem algo exatamente novos, agora é que esses serviços estão se popularizando.
Com mais pessoas utilizando temos uma série de questões que não temos como responder agora.

Utilizar ou não o ChatGPT?

Com a tecnologia disponível, e até o momento disponibilizado de forma limitada mas gratuíta, pode surgir a dúvida se esse tipo de serviço deve ser utilizado ou não.

Eu pessoalmente tenho utilizado o ChatGPT com certa frequência de três formas:

1. Para tentar resumir assuntos e tópicos em que eu já tenha conhecimento, porém gostaria de recapitular;
2. Para montar guias de estudos de assuntos que não domino, onde depois vou buscar informações mais profundas em outras fontes;
3. Para questões técnicas de tecnologias que eu domino, mas que estou enfrentando um erro ou quero tentar ver se existe alguma forma alternativa de resolver um problema.

Em todos os casos não confio totalmente nas informações geradas, principalmente em assuntos que não conheço.

Já teve mais de uma ocasião em que pedi informações mais técnicas e exemplos de implementação em código, porém o código gerado não funcionava ou não funcionava como esperado. Nenhum dos casos o código apresentava um comportamento que poderia causar algum dano, mas eu tinha o conhecimento para analisar e verificar que de fato, apesar de errado, o código era seguro. Porém alguém que não tenha nenhum conhecimento e queira simplesmente copiar o código e utilizar, vai ter o mesmo cuidado?

Então vejo que a recomendação geral para uso dessas tecnologias é a mesma de quando fazemos uma busca na internet: não confiar totalmente na primeira resposta encontrada e tentar validar os resultados com mais de uma fonte. E principalmente, não sair copiando e colando código sem entender o que está sendo feito.

Ah, e se você for querer fornecer dados seus para que uma IA seja treinada, seja para geração de texto ou até geração de imagens, tome muito cuidado. Pense que esses modelos ficam disponíveis para todas as pessoas. Você não daria acesso dos seus dados a um estranho qualquer na rua, não faça o mesmo na internet.

E enquanto isso, vamos aguardando quais serão as próximas evoluções das IA, e quais serão os impactos que elas terão nas nossas vidas no futuro.

Hoje, 07/02/2023, é o Dia Internacional da Internet Segura, que tem como objetivo promover o uso consciente e seguro da internet, não só olhando para a prevenção de golpes e crimes, mas também para termos uma relação mais saudável com a tecnologia.
Com cada vez mais a internet inserida nas diversas atividades da nossa vida, esse é um dia importante para aproveitarmos e olharmos para isso!

Então aproveitando essas datas, resolvi trazer algumas dicas para estarmos mais seguros enquanto navegamos na rede mundial de computadores:

• Evite repetir a mesma senha em sites/aplicativos diferentes. Assim como também evite senhas simples demais e que utilizem dados seus que são públicos (datas de aniversário, nome de conhecidos, nome de pets, etc);

• Utilize um cofre de senha para organizar suas senhas, e assim poder gerar senhas complexas a únicas para cada lugar;

• Sempre que possível tenha autenticação em 2 fatores ativadas nas suas contas, adicionando mais uma camada de segurança;

• Não compartilhe suas senhas;

• Pense duas vezes antes de clicar em algum link recebido por rede social, aplicativo de mensagens ou por e-mail, principalmente se o objetivo for fazer o download de algum arquivo que você não conheça;

• Confira sempre se o site que você está acessando possui um certificado digital válido, e se o endereço é realmente de onde deveria ser;

• Configure seu celular e computadores para bloquear após alguns minutos sem uso;

• Principalmente em computadores compartilhados, lembre sempre em sair das suas contas após o uso, e dê preferência para as funções de navegação anônima dos navegadores;

• Cuidado ao baixar aplicativos de fontes alternativas que não sejam as lojas oficiais;

• Até mesmo em lojas oficiais, cuidados com aplicativos que pedem permissões demais além do que seria o razoável para o app funcionar;

• Cuidado quando vierem te pedir dinheiro pela internet, mesmo que sejam pessoas próximas a você. Desconfie sempre, e prefira ter esse tipo de conversa por meio de uma ligação ou videochamada, não somente por mensagem;

• Evite fazer compras com seus dados de cartões em sites pouco conhecidos. Dê preferência para o uso de cartões virtuais de uso único.

• Cuidado com wi-fi públicos. Sempre que possível use uma VPN para acessar esse tipo de rede.

• Tente evitar o compartilhamento excessivo de informações nas redes sociais. Sim, nos dias de hoje é difícil, mas essas plataformas são grandes fontes de informação para ataques de engenharia social, e uma vez que algo é publicado na internet é quase impossível de ser removido depois.

• Presenciou ou está passando por alguma experiência online que não está te fazendo bem? Procure ajuda!

E é isso, essas são algumas das dicas que vejo que são mais importantes para o uso mais seguro da internet.
Mais informações sobre o dia de hoje podem ser encontradas em safernet.org.br

Um bom dia da internet segura a todos!

Mais um resumo da semana, com os links, notícias e artigos recomendados dos últimos dias. Github Copilot liberado para qualquer pessoas e repercussões dos códigos utilizados por ele, novas funcionalidades de acessibilidade no VisualStudio, fim do suporte para o Windows 8.1, biblioteca digital gratuita lançada pelo governo de SP, vulnerabilidade em extensões do Google Chrome, mais uma base militar comprometida pro causa de aplicativos de exercícios (desse vez foi uma base israelita), vulnerabilidade na tecnologia de criptomoedas, Fast Shop sofre ataque, resultado da pesquisa anual do Stack Overflow, e Log4Shell ainda sendo explorado no VMWare mesmo depois de todo esse tempo.

Artigos

• Dev Tools Unleashed: 7 things you probably didn’t know Dev Tools could do
• Stack Overflow Developer Survey 2022

Notícias

• GitHub Copilot ‘AI Pair Programmer’ Now Generally Available at $10/Month
• GitHub Copilot is Now Available for All and Not Everyone Likes It
• Open Source Software Security Begins to Mature
• Cloudflare Outage Knocks Hundreds of Websites Offline
• YouTube supera WhatsApp como principal rede social de notícias no Brasil
• Meta, Microsoft, NVIDIA, Unity and others form Metaverse Standards Forum
• Meta and Microsoft team up to create metaverse standards; Apple, Google sit out
• Listen Up, Visual Studio has a new feature you need to hear about!
• É o fim: Microsoft vai encerrar suporte ao Windows 8.1 em 2023
• Biblioteca digital gratuita é lançada pelo governo de SP

Segurança

• DDoS Attacks Delay Putin Speech at Russian Economic Forum
• Google Chrome Extensions Could Be Used to Track Users Online
• Capital One Attacker Exploited Misconfigured AWS Databases
• Microsoft Plans to Eliminate Face Analysis Tools in Push for ‘Responsible A.I.’
• Israeli military personnel spied on via Strava fitness-tracking app
• Authorities Suspect Cyber Attack Behind False Rocket Sirens in Israel
• Cryptocurrency tech is vulnerable to tampering, a DARPA analysis finds
• Fast Shop é atingida por um ataque cibernético
• Ransomware Conti invade mais de 40 empresas em um mês
• Log4Shell Still Being Exploited to Hack VMWare Servers to Exfiltrate Sensitive Data

Mais um resumo da semana, com as notícias, artigos e links dos últimos dias. Suspensão do funcionário da Google que afirmou que IA tinha “ganhado vida”, Thunderbird no Android, IAM do GitHub agora é OpenSource, navegação no Firefox agora ainda mais segura, versão gratuita do PhotoShop deve ser disponibilizada de graça no navegador, fim definitivo do Internet Explorer, vulnerabilidades nos chips Intel e AMD, artigo sobre “Pirataria Fantasma” no trabalho remoto, vulnerabilidade no Office365, Facebook recebendo informações médicas sensíveis, possível acesso de dados do TikTok pela Chinês e alternativa OpenSource ao Google Fonts.

Artigos

• Write HTML Right
• Announcing .NET 7 Preview 5
• In Case You Missed RSA Conference 2022: A News Digest
• Pirataria “fantasma” no home office vira alvo de empresas e da polícia
• Bunny - Alternativa OpenSource ao Google Fonts

Notícias

• Googler Suspended After Claiming AI Became Sentient
• Revealed: Our Plans For Thunderbird On Android
• Bloco de Notas do Windows 11 está mais lento que versão clássica, admite Microsoft
• GitHub coloca em open source o seu sistema de IAM
• Adobe will release a free version of Photoshop for browsers
• Internet Explorer 11 has retired and is officially out of support—what you need to know
• Samsung once again caught cheating on benchmarks

Segurança

• Bluetooth Signals Can Be Used to Track Smartphones, Say Researchers
• Firefox rolls out Total Cookie Protection by default to all users worldwide
• Mozilla Just Made Firefox the Most Secure Web Browser for All Users
• Microsoft Patches ‘Follina’ Zero-Day Flaw in Monthly Security Update
• Ataque de 26 milhões de rps contra a Cloudflare
• Thousands Arrested in Global Raids on Social-Engineering Scammers
• Nova falha em chips Intel e AMD pode permitir roubo de chaves de criptografia
• Elasticsearch Database Mess Up Exposed Login, PII Data of 30,000 Students
• Miguel de Icaza Leads Uproar Over Closed-Source VS Code C# Tool
• A Microsoft Office 365 Feature Could Help Ransomware Hackers Hold Cloud Files Hostage
• Making the world a safer place with Microsoft Defender for individuals
• Cybersecurity Researchers Find Several Google Play Store Apps Stealing Users Data
• DeadBolt Ransomware Actively Targets QNAP NAS Devices — Again
• Facebook is receiving sensitive medical information from hospital websites
• Atlassian Confluence Flaw Being Used to Deploy Ransomware and Crypto Miners
• Researchers say Hermit, a powerful mobile spyware, is used by governments
• TikTok moves all US traffic to Oracle servers, amid new claims user data was accessed from China
• Leaked Audio From 80 Internal TikTok Meetings Shows That US User Data Has Been Repeatedly Accessed From China
• Brave roasts DuckDuckGo over Bing privacy exception
• Cibersegurança piora em países sem liberdade digital
• Novo kit de phishing já disponível em fóruns de cibercrime

Mais um resumo da semana, com notícias e artigos recomendados dos últimos dias. Guia sobre acessibilidade na web, novos chips M2 da Apple, artigo com uma reflexão interessante sobre gerenciamento de senhas, fim do editor Atom (o VSCode venceu), falha nos chips M1 da Apple, malware para linux e engenheiro da Google que acha que a IA da empresa “está viva”.

Artigos

• The ultimate guide to web accessibility
• The Best C# .NET Web Application Tech Stack: Choosing The Front End
• I’ve locked myself out of my digital life
• How to test ASP.NET Core Minimal APIs

Notícias

• Elon Musk ameaça cancelar compra do Twitter por “quebra” de contrato
• Apple revela chip M2 com promessa de maior desempenho e economia de energia
• WWDC 2022: Everything Apple announced at its annual developers conference
• Twitter will reportedly hand over internal data to soothe Musk’s bot fears
• Spotify Introduces an Open-Source Tool to Fix a Big Problem for Modern Musicians
• To Favor Microsoft VS Code, Microsoft’s GitHub is Killing GitHub’s Atom Editor
• Microsoft declara guerra ao HD
• The Google engineer who thinks the company’s AI has come to life

Segurança

• Microsoft won’t say if it will patch critical Windows vulnerability under exploit
• Russian Ministry Website Hacked to Display “Glory To Ukraine” Message
• Now Is the Time to Plan for Post-Quantum Cryptography
• Paying Ransomware Paints Bigger Bullseye on Target’s Back
• Even the Most Advanced Threats Rely on Unpatched Systems
• Symbiote: A Stealthy Linux Malware Targeting Latin American Financial Sector
• Malware busca credenciais de bancos brasileiros no Linux
• MIT researchers uncover ‘unpatchable’ flaw in Apple M1 chips

O conceito de Software Livre e de Código Aberto (que em inglês é chamado de Free and Open Source Software, ou a sigla FOSS), é um conceito que nasceu nos anos 80 para se opor ao que podemos chamar de software de código fechado (ou software proprietário), e que, na época, estava se tornando o padrão para os sistemas e programas desenvolvidos.

E na verdade, apesar dos termos Software Livre e Software de Código Aberto serem algumas vezes utilizados de forma equivalente, os conceitos em sí são diferentes, e é importante que entendamos os dois para sabermos quando estamos falando de um software livre ou de um de código aberto.

O Software Livre (ou Free Software)

Principalmente o termo em inglês, “Free Software”, pode acabar trazendo uma conotação errônea sobre o que de fato caracteriza um software livre, especialmente se traduzirmos o termo do inglês ao pé da letra, (o que seria ‘software grátis’). Na verdade, o conceito de software livre não tem exatamente uma relação específica com o preço ou o valor cobrado por ele, a ideia é que um software livre não tenha nenhuma restrição ou bloqueio devido a direitos autorais (e acho que o termo em português, “livre”, cai muito bem nesse sentido).

Basicamente, um software livre deve respeitar 4 liberdades essenciais, conforme definido pela Free Software Foundation, organização não-governamental com o ideal de promover o software livre:

1. A liberdade de executar o programa como você desejar, para qualquer propósito (liberdade 0).
2. A liberdade de estudar como o programa funciona, e adaptá-lo às suas necessidades (liberdade 1). Para tanto, acesso ao código-fonte é um pré-requisito.
3. A liberdade de redistribuir cópias de modo que você possa ajudar outros (liberdade 2).
4. A liberdade de distribuir cópias de suas versões modificadas a outros (liberdade 3). Desta forma, você pode dar a toda comunidade a chance de beneficiar de suas mudanças. Para tanto, acesso ao código-fonte é um pré-requisito.

Olhando para esse conceito podemos concluir que muito dificilmente um software livre conseguiria respeitar todas essas liberdades e ter qualquer forma de monetização, o que é verdade, já que um software que deve ser distribuído livremente não poderia ser cobrado. Mas essa seria uma consequência de um software livre, não a sua motivação principal.

Apesar de que alguns softwares livres serem sim vendidos, mas não com objetivo de cobrar ou restringir o uso do software, mas sim para arrecadar fundos em forma de uma contribuição ou doação para quem cria ou mantêm o software.

O Software de Código Aberto (ou Open Source Software)

E é a partir daí que surge o conceito de “Software de Código Aberto”, que veio posteriormente ao conceito de software livre, visando deixar menos ambíguo e, principalmente, mais confortável para o mundo corporativo.
Um software de código aberto, ou contendo um componente originalmente de código aberto, pode sim ser cobrado, e ao mesmo tempo ainda estar de acordo com a sua definição.
Por isso podemos considerar que todo software livre é um software de código aberto, mas o contrário nem sempre é verdade.

O conceito de software de código aberto é regido pela Open Source Initiative, que também é uma organização focada na promoção e adoção de softwares de código aberto.
A ideia é que um software de código aberto disponibilize seu código fonte sem restrições para que qualquer um possa consultar, porém existem algumas restrições do que mais pode ser feito com esse código, de acordo com o modelo de licenciamento definido.

E a Open Source Initiative lista diversos modelos de licenciamento para um software de código aberto, e é o tipo de licença escolhida que define como que um software de código aberto pode ser utilizado e ou comercializado (mais sobre os tipos de licenciamento em um artigo futuro).
Por isso é sempre importante se atentar ao tipo de licença de um software antes de utilizá-lo ou incorporá-lo à um projeto.

Porque usar software livre e de código aberto

Quase sempre que o tema de software livre é discutido, são levantados questionamentos sobre as motivações de se utilizar um software desse tipo. Já ouvi em discussões de que não é bom utilizar esse tipo de software porque não existe nenhuma empresa por trás para dar suporte ou responder a eventuais problemas de uso, nem ninguém para ser “responsabilizado”.

E talvez isso até seja verdade com softwares livres, que pela sua essência acabam realmente sendo programas criados e mantidos por voluntários (já que costumam ser mesmo gratuitos), o mesmo não é uma verdade absoluta sobre softwares de código aberto.
Muitos programas de código aberto são mantidos por empresas cujos modelos de negócio acabam sendo justamente agregar algum outro valor ao software (como um atendimento personalizado, um serviço adicional relevante, etc), permitindo que o código seja disponibilizado abertamente, e ainda assim gere algum tipo de renda para quem o mantêm.

Esses são alguns dos motivos que eu pessoalmente vejo que são vantagens de se utilizar um software de código aberto:

1. Podendo olhar o código-fonte do software, você sabe exatamente o que ele está fazendo ou deixando de fazer, permitindo que seu funcionamento seja auditado por qualquer pessoa, trazendo mais segurança na sua utilização;
2. Esse tipo de software ajuda a promover o senso de comunidade, pois qualquer um pode tando contribuir para um software de código aberto, com sugestões de melhorias e correções de problemas, quanto (dependendo do licenciamento) utilizar partes de código em outros projetos;
3. Apesar de poder ter algum tipo de cobrança sobre um software de código aberto, muitas vezes é possível utilizá-lo em partes de forma gratuita, diminuindo os custos de um projeto, principalmente para pequenas empresas ou startups;
4. Liberdade de não ficar preso a uma empresa específica ao utilizar o software dela. Você utiliza um produto que sofreu alguma alteração que você não gostou, ou tem alguma funcionalidade que você precisa muito? Você pode muito bem criar uma nova versão desses sistema com base no código disponibilizado e alterá-lo da forma como for necessário para você.

E já sobre o software livre, além dos mesmos motivos do software de código aberto, podemos também adicionar um componente de certa forma ideológico sobre seu uso, que é a ideia de promover a solidariedade e a cooperação entre as pessoas, e combater monopólios.
Em vez de utilizar um software proprietário que irá beneficiar apenas uma empresa em particular, porque não utilizar um software livre, onde você pode ajudar a manter e a melhorar, é gratuito e pode acabar beneficiando muitas mais pessoas?

Claro, nem sempre vamos conseguir uma alternativa livre para os sistemas que utilizamos no nosso dia-a-dia, e softwares proprietários as vezes trazem facilidades de uso que podem parecer mais atrativos, mas tentar priorizar softwares livres e de código aberto pode ajudar a termos um futuro tecnológico melhor.

Pra quase todo software proprietário podemos encontrar um equivalente de código aberto, e aqui posso listar alguns, como Linux vs Windows e MacOS, Firefox vs Google Chrome, Android vs iOS, MySql vs Oracle e MSSQLServer, Libre Office vs Microsoft Office, GIMP vs Photoshop, Joplin vs Evernote, entre outros!

Um site que gosto que ajuda bastante nisso é o AlternativeTo. Buscando por um software ou serviço, ele traz diversos outras alternativas disponíveis, e entre os filtros você pode selecionar para trazer apenas softwares livres e de código aberto.

Mais um resumo da semana, com notícias e artigos recomendados dos últimos dias. Vulnerabilidade grave no Windows, Elon Musk se posicionando contra o trabalho remoto, Anatel contra ligações de robôs, vulnerabilidade no Confluence, vazamento de dados de empresa aérea, governo dos EUA assumindo participação em ataques cibernéticos contra a Rússia, GitHub Sponsors chega ao Brasil e data do AWS Summit em São Paulo.

Artigos

• A decade of dotfiles
• Incremental ASP.NET to ASP.NET Core Migration

Notícias

• Google is merging Duo and Meet into a single video calling platform
• “Trabalho remoto não é mais aceitável” diz Elon Musk
• Elon Musk dá ultimato a funcionários da Tesla sobre trabalho remoto
• Após ultimato de Elon Musk, Amazon oferece vagas a funcionários da Tesla
• Programa do GitHub para apoio financeiro a desenvolvedores chega ao Brasil
• Recorde mundial: Dados são transmitidos a 1 petabit por segundo
• Anatel determina bloqueio de chamadas automatizadas que desligam na sua cara
• Linux Mint Takes Over Development of Timeshift, the Nifty Backup Tool

Segurança

• Watch Out! Researchers Spot New Microsoft Office Zero-Day Exploit in the Wild
• Relatório revela como hackers estão usando a IA em ataques
• Zero-Day ‘Follina’ Bug Lays Older Microsoft Office Versions Open to Attack
• Anonymous Claims Attacks Against Belarus for Involvement in Russian Invasion of Ukraine
• Hacker steals Verizon employee database after tricking worker into granting remote access
• Pegasus Airlines Leaked 6.5TB of Data in AWS S3 Bucket Mess Up
• Code execution 0day in Windows has been under active exploit for 7 weeks
• How safe is society’s critical infrastructure from infosec attacks?
• 12K Misconfigured Elasticsearch Buckets Ravaged by Extortionists
• China-backed hackers are exploiting unpatched Microsoft zero-day 
• Cibercrime anuncia na dark web 139 GB de dados do Brasil
• White House: cyber activity not against Russia policy
• Tim Hortons coffee app broke law by constantly recording users’ movements
• Hackers Exploiting Unpatched Critical Atlassian Confluence Zero-Day Vulnerability
• Millions of MySQL Servers are Publicly Exposed
• Someone apparently leaked classified Chinese tank schematics to win an online argument
• State-Backed Hackers Exploit Microsoft ‘Follina’ Bug to Target Entities in Europe and U.S

Eventos

• AWS Summit São Paulo Expo
• Apple WWDC22

Mais um resumo da semana, com notícias e artigos recomendados da última semana.
Nova versão do Kernel Linux, lançamento do .NET MAUI, ainda eventos relacionados à guerra na Ucrânia, vulnerabilidade no Zoom, ransomware “Robin Hood” que exige doações, Microsoft anuncia equipamento para desenvolvedores chamado ‘Project Volterra’ e serviço de desenvolvimento na nuvem chamado ‘Dev Box’, apps de ensino remoto coletando dados de crianças, artigo interessante sobre a prática do “reinicia a máquina que volta a funcionar”, artigo sobre controle a distância de telas touch screen com ataque eletromagnético, Twitter multado por venda de dados de clientes, pornografia exibida em telas de aeroporto, WSL chegando no WindowsServer, Kindles antigos deixando de ter suporte e artigo com 8 razões de porque você deveria deixar de usar o Chrome e mudar para o Firefox.

Artigos

• Introducing .NET MAUI – One Codebase, Many Platforms
• Anatomy of a DDoS amplification attack
• Talvez você não veja o menor robô do mundo controlado remotamente
• OpenTelemetry .NET Automatic Instrumentation Releases its first Beta
• On rebooting: the unreasonable effectiveness of turning computers off and on again
• 8 reasons to ditch Chrome and switch to Firefox

Notícias

• Linux Kernel 5.18 Released with Graphics Driver Changes and New Hardware Support
• NVIDIA reveal a list of issues with their driver and Wayland
• Microsoft Introduces ‘Dev Box’ Service for Cloud Workstations
• Microsoft Dev Box will virtualize your Windows development PC in a browser window
• ProtonMail is Now Just ‘Proton’ Offering a Privacy Ecosystem
• Máquina que compra celulares usados e paga na hora é lançada em São Paulo
• Kindles antigos vão perder acesso à loja de e-books da Amazon em agosto
• Twitter investor sues Elon Musk over acquisition shenanigans
• Twitter é multado por vender e-mail e telefone de usuários para anunciantes
• Windows Subsystem for Linux 2 splashes down on Win Server 2022
• Project Volterra: Everything you need to know about Microsoft’s ARM developer kit

Segurança

• Anonymous Declares Cyber-War on Pro-Russian Hacker Gang Killnet
• PayPal Pays a Hacker $200,000 for Discovering ‘One-Click-Hack’ Vulnerability
• Fronton: Russian IoT Botnet Designed to Run Social Media Disinformation Campaigns
• SIM-based Authentication Aims to Transform Device Binding Security to End Phishing
• Personal Data of Tens of Millions of Russians and Ukrainians Exposed Online
• Microsoft Elevation-of-Privilege Vulnerabilities Spiked Again in 2021
• New Zoom Flaws Could Let Attackers Hack Victims Just by Sending them a Message
• Food For Files: GoodWill Ransomware demands food for the poor to decrypt locked files
• Serviço Siga-me vira ferramenta para roubo da conta de WhatsApp
• Apps de ensino remoto coletaram dados sensíveis de crianças
• Meta consolidates its privacy policy to appease regulators
• Attackers Can Use Electromagnetic Signals to Control Touch Screens Remotely
• ChromeLoader Malware Hijacks Browsers With ISO Files
• Totens são hackeados para exibir pornografia em aeroporto do Rio de Janeiro
• Microsoft Finds Critical Bugs in Pre-Installed Apps on Millions of Android Devices
• New Windows Subsystem for Linux malware steals browser auth cookies
• npm security update: Attack campaign using stolen OAuth tokens