Nem é só de soluções proprietárias e fechadas que vivem as grandes empresas. Já há alguns bons anos, marcas importantes como Google e Facebook têm investido de forma pesada em programas open source, inclusive na parte de segurança. E não só em projetos já existentes, como o OpenSSL – novas iniciativas, desenvolvidas pelas próprias companhias (com a ajuda da comunidade) ou em parceria com outros nomes, também têm vez. Essa mudança de mentalidade, notada em especial no ano passado após o Heartbleed, deve evoluir ainda mais em 2015. Mas caso você queira aproveitar alguns das soluções agora, selecionamos 10 das mais interessantes, relacionadas desta vez apenas à segurança e baseados nesta ótima lista do Linux.com. Confira os projetos a seguir, com os links de seus respectivos repositórios.

Lançado em outubro do ano passado pelo Facebook – que recentemente abriu o código do Proxygen –, este framework para OS X e Linux ajuda na hora de analisar sistemas operacionais em um nível mais baixo. Ele é útil para monitorar o desempenho de toda a plataforma – porque, para a empresa, obter informações “em tempo real sobre o estado atual de sua infraestrutura é importante”. Como principais diferenças para outros serviços, o software “expõe um SO como um banco de dados relacional de alta performance”, e permite que você escreva “queries baseadas em SQL de forma eficiente e facilitada para explorar o sistema”. O osquery funciona com hospedagens em larga escala e com diferentes plataformas ao mesmo tempo, e seu código está disponível aqui, junto com bem mais informações.

A ferramenta feita pelo Google e por pesquisadores da Politécnica de Milão não é exatamente um scanner automático de vulnerabilidades, mas sim uma área de testes para eles. Construído em Java com a Google App Engine, o Firing Range (Campo de Tiro, em português) carrega consigo alguns bugs e padrões comuns na web, funcionando mais ou menos como um sandbox para testes de antivírus. O código da ferramenta está disponível aqui.

Usa alguns serviços dos Amazon Web Services? Então esta ferramenta da Netflix pode ser de grande ajuda: ela monitora mudanças na política e alerta sobre configurações consideradas inseguras feitas na conta. E segundo a empresa, “enquanto seu propósito principal é segurança, a solução também é útil para localizar potenciais problemas, visto que é essencialmente um sistema de rastreamento de alterações”. O Security Monkey funciona em CPython 2.7 e em Linux e OS X. O código está disponível aqui. E caso você tenha se interessado, vale checar outras duas soluções também da Netflix: o Scumblr e o Sketchy.

Mais voltada para privacidade e também obra do Google, a solução ajuda a analisar dados sem precisar invadir a privacidade. Na descrição provida pela empresa, a ferramenta junta, anonimamente, as estatísticas providas pelo software dos usuários finais e disponibiliza a “floresta de dados dos clientes” para ser estudada – mas sem permitir que apenas uma árvore desse matagal seja isolada. É útil para um desenvolvedor que precisa de informações sobre seu público, mas que não quer comprometer a segurança de quem visita ou usa sua aplicação. O código todo está disponível aqui.

Um pouco mais antiga, esta engine de antivírus virou parte da Cisco após a empresa adquirir a SourceFire, em outubro de 2013. Seu principal uso se dá em servidores de e-mail, onde age no bloqueio de vírus e outros tipos de ameaças, escaneado inclusive as linhas de comando de cada um dos arquivos. O software tem suporte a múltiplos formatos e seu banco de dados é atualizado “múltiplas vezes ao dia”, segundo o site oficial. O programa ainda não chegou a uma versão final (1.0), mas sua versão estável pode ser baixada aqui. Para colaborar com o desenvolvimento, o caminho é este .

Outra obra do Google e voltada apenas para OS X, este sistema binário de “whitelists” e “blacklists” é basicamente uma extensão de kernel. O software monitora itens em execução e toma decisões baseadas em um banco de dados em SQLite, segundo sua descrição. Ele também com um agente de GUI (graphical user interface) que alerta o usuário quando algo é bloqueado e “um utilitário de linha de comando para gerenciar o sistema e sincronizar o banco de dados com um servidor”. O Santa ainda está em fase de testes, e seu código está disponível aqui.

Focada em criptografia, esta seleção de APIs em Java foi criada para proteger as informações que o próprio app do Facebook armazenada no cartão SD de um Android. A solução promete ser mais eficiente do que as já existentes na hora de executar esta tarefa, e muito porque não depende do mais pesado padrão AES, e sim de algoritmos do OpenSSL para cifrar os dados. A biblioteca de ferramentas, portanto, é bem menor, o que torna sua aplicação bem mais fácil. O código do Conceal está todo disponível aqui.

Este framework para análise de segurança foi anunciado pela Cisco no final do ano passado, e visa “ajuda empresas a aproveitar o big data na segurança”. A plataforma serve para detectar ameaças e analisar os danos causados por um eventual ataque ou vazamento de dados. Escalável, o sistema conta com ferramentas para detecção e indexação de pacotes, busca em tempo real e armazenamento de dados, entre outras. Serve, portanto, como uma boa opção de plataforma para analistas de segurança que precisam responder rapidamente a uma ameaça – algo que nem sempre é feito. O código da ferramenta está disponível aqui.

Mantido pelo Twitter, a solução aplica automaticamente diferentes headers relacionadas à segurança no código fonte. A lista inclui um sistema de detecção e prevenção de XSS (cross site scripting) e diferentes tipos de ataques, outro para garantir que o site acessado será aberto em HTTPS e um filtro de XSS para Internet Explorer e Chrome. Segundo a página do projeto, a ferramenta tem integração com Rails, “mas funciona com qualquer código em Ruby”. O código pode ser conferido aqui.

Já que falamos em XSS, esta coleção de assemblies em .NET da Microsoft ajuda a proteger sites deste e de outros tipos de ataque. O golpe principal consiste basicamente em injetar um código malicioso na página acessada pelo usuário final, com o objetivo de roubar informações sensíveis – um campo de senha, por exemplo, pode ser alterado com essa injeção de linha de comando. A biblioteca da MS consegue bloquear este tipo de ataque com a ajuda de uma “white list”, que identifica termos estranhos no código, consertando-os com base nas “regras corretas” estabelecidas originalmente pelo desenvolvedor. O código da ferramenta pode ser encontrado aqui.