A transparência é um dos pilares do software livre. Ter a liberdade de ver e auditar o código que roda em sua máquina é um princípio que move toda a comunidade. Quando essa premissa se estende aos pacotes de software que instalamos, ela se torna um instrumento de poder e de segurança. É essa a filosofia que rege o Snapscope, uma nova e poderosa ferramenta que coloca uma lupa sobre os pacotes Snap disponíveis na loja da Canonical, revelando suas vulnerabilidades de segurança e transformando você, o usuário, em um auditor ativo do seu próprio sistema.
Criado por Alan Pope, um conhecido nome do ecossistema Ubuntu, o Snapscope utiliza ferramentas de segurança de código aberto como o Grype para analisar automaticamente qualquer pacote Snap. Basta acessar o site, buscar pelo nome de um Snap (como firefox ou spotify) e em poucos minutos você terá um relatório completo de segurança. A ferramenta gera uma Lista de Materiais de Software (SBOM), identificando cada componente empacotado, e em seguida cruza esses dados com bancos de vulnerabilidades conhecidas, destacando de forma clara CVEs críticos, altos, médios e baixos.
Mas o que torna o Snapscope verdadeiramente inovador não é apenas a tecnologia, mas sua abordagem. Como o próprio site declara, ele não apresenta julgamentos, apenas fatos. Em um ecossistema onde discussões sobre formatos de empacotamento podem se tornar acaloradas, o Snapscope oferece uma visão neutra e baseada em dados. Ele permite que você, como usuário, tome decisões informadas. Se o Snap do seu aplicativo favorito contém uma biblioteca desatualizada com uma vulnerabilidade de alto risco, você saberá. E, mais importante, você poderá decidir se vale o risco, procurar uma alternativa ou, inclusive, entrar em contato com o mantenedor do pacote para reportar o problema.
Por dentro da ferramenta
Ao utilizar o Snapscope, você mergulha em um relatório detalhado que organiza as informações de maneira clara e acionável. A primeira informação apresentada é o resumo de segurança, que mostra a contagem total de componentes identificados no pacote e a distribuição de vulnerabilidades por nível de severidade.
Uma das funcionalidades mais importantes é o destaque para Vulnerabilidades Conhecidamente Exploradas (KEVs), um tipo de falha que merece atenção máxima, com evidências confiáveis de que foram ou estão sendo ativamente exploradas por agentes maliciosos no mundo real.
Por exemplo, o CISA, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA, mantém um catálogo oficial dessas KEVs, usadas para orientar a priorização de esforços de segurança em nível nacional. Encontrar uma dessas em um pacote é um sinal vermelho que exige ação imediata.
Os relatórios também incluem:
- Lista Completa de Vulnerabilidades: Cada CVE identificado é listado com seu ID, pontuação CVSS (o score de gravidade), uma descrição clara e um link direto para mais detalhes. Essa é a porta de entrada para você entender a natureza exata da falha.
- Histórico de Revisões: Você pode navegar pelas versões anteriores do pacote que foram escaneadas, observando se o número de vulnerabilidades aumentou ou diminuiu com o tempo. Isso é um excelente indicador da diligência do mantenedor.
- Informações do Publicador: O site agrupa os pacotes por publicador, permitindo que você avalie a postura de segurança geral de uma organização ou desenvolvedor.
Entendendo o contexto dos Snaps
Os resultados do Snapscope podem, à primeira vista, parecer assustadores. É comum encontrar pacotes com dezenas de vulnerabilidades listadas. No entanto, é fundamental contextualizar essas informações para não cair em pânico ou tirar conclusões equivocadas.
Primeiramente, a grande maioria das vulnerabilidades identificadas não são falhas no formato Snap em si. Elas são, em sua essência, problemas em bibliotecas e dependências que o pacote decidiu “embutir” (ou bundle). Essa é uma característica central do modelo Snap: cada aplicativo pode carregar consigo todas as bibliotecas de que precisa para funcionar, independentemente do que está instalado no sistema. Isso resolve problemas de compatibilidade (permitindo, por exemplo, que aplicativos novos rodem em distribuições antigas), mas cria um desafio de segurança: se uma dessas centenas de bibliotecas embutidas tem uma falha, a correção só pode ser aplicada pelo mantenedor do Snap, que precisa reconstruir e republicar o pacote.
É importante notar que o mesmo problema existiria se a ferramenta analisasse pacotes DEB, RPM ou AppImage que também fizessem bundling de bibliotecas.
A Canonical trabalha para mitigar esse risco através dos “base snaps” – imagens básicas compartilhadas que fornecem conjuntos comuns de bibliotecas, reduzindo a duplicação e simplificando a superfície de ataque. Além disso, o próprio modelo de confinamento dos Snaps atua como uma camada de defesa poderosa. Mesmo que um código malicioso explore uma vulnerabilidade dentro do pacote, as políticas de segurança do Snap, como perfis AppArmor e filtros Seccomp, criam uma sandbox que dificilmente permitirá que a ameaça se espalhe para o resto do sistema. A menos que o usuário conceda manualmente permissões extras, o potencial de dano é contido.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!