É difícil imaginar sistemas Unix e Linux modernos sem o comando sudo. Presente em praticamente todas as distribuições, ele é uma das peças centrais do modelo de segurança desses sistemas, permitindo que usuários autorizados executem comandos com privilégios elevados de forma controlada. Ainda assim, um fato alarmante veio à tona no início deste ano: o principal mantenedor do sudo há mais de três décadas está buscando apoio financeiro para conseguir manter o projeto vivo.
Todd C. Miller mantém o sudo desde 1993. Em uma mensagem publicada em seu site pessoal, o desenvolvedor foi direto: após mais de 30 anos à frente do projeto, ele procura um patrocinador que possa financiar a manutenção e o desenvolvimento contínuo da ferramenta. Sem esse apoio, o ritmo de trabalho se tornou insustentável.
O caso do sudo não é isolado. Ele se soma a uma longa lista de projetos essenciais de código aberto que dependem do esforço de um número extremamente reduzido de pessoas. Ferramentas fundamentais para a infraestrutura da internet, sistemas operacionais e ambientes corporativos frequentemente são mantidas por voluntários ou por desenvolvedores com financiamento precário, apesar de seu uso massivo por empresas e governos.
A importância do sudo vai muito além da conveniência. Sem ele, administradores de sistemas teriam de recorrer com mais frequência ao login direto como root ou a mecanismos mais amplos de escalonamento de privilégios, práticas que aumentam significativamente os riscos operacionais e de segurança. O sudo permite definir políticas detalhadas sobre quem pode executar quais comandos, em quais máquinas e sob quais condições, sendo um pilar do modelo de segurança Unix (embora um tanto questionável por alguns administradores de sistema).
Entre 2010 e fevereiro de 2024, o desenvolvimento do sudo contou com patrocínio da Quest Software, que empregava Miller para trabalhar no projeto como parte de suas funções profissionais. Esse período foi marcado por avanços importantes, como a introdução de logging de entrada e saída, uma API de plugins, servidor de logs, mais testes automatizados e ciclos de lançamento mais regulares. Com o fim desse patrocínio e a saída de Miller da subsidiária One Identity, o projeto voltou a depender quase exclusivamente de seu tempo pessoal.
Apesar disso, o sudo não foi abandonado. O changelog mostra diversas atualizações lançadas desde 2024, incluindo correções de bugs e falhas de segurança. E elas são necessárias: ao longo dos anos, o sudo acumulou vulnerabilidades críticas, incluindo um famoso erro de estouro de buffer descoberto em 2021 que permitia a qualquer usuário local obter privilégios de root, mesmo sem permissão, por meio de uma falha presente havia mais de uma década.
Problemas desse tipo, muitos deles relacionados a gerenciamento de memória em C, ajudaram a impulsionar o surgimento do sudo-rs, uma reimplementação do sudo escrita em Rust, com foco em segurança de memória. Essa nova versão ganhou força rapidamente e, em outubro de 2025, o Ubuntu 25.10 passou a utilizá-la como implementação padrão do comando sudo, sinalizando uma possível transição gradual no ecossistema Linux.
Segundo o próprio Miller, o futuro do sudo tradicional pode depender diretamente da obtenção de financiamento. Embora o projeto conte com patrocinadores individuais no GitHub, esses recursos não parecem suficientes para garantir dedicação contínua em tempo integral. Sem isso, o desenvolvimento desacelera, limitando-se a correções essenciais e limpeza de código, em vez de novos recursos ou melhorias estruturais.
Em uma atualização posterior, Miller deixou claro que não pretende abandonar o sudo nem repassar o projeto no curto prazo. Ele afirmou que eventos recentes, como o caso do backdoor no xz utils, o tornaram ainda mais cauteloso em entregar um projeto tão sensível a alguém sem histórico conhecido. Ainda assim, reconhece que não espera mantê-lo indefinidamente.
A situação do sudo expõe um problema estrutural do modelo de código aberto moderno: a dependência global de ferramentas críticas mantidas por poucos indivíduos, muitas vezes sem suporte financeiro proporcional à sua importância. Como o próprio Miller resume, o esgotamento de mantenedores é real e, sem algum tipo de assistência sustentável, todo o ecossistema acaba ficando em risco.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!