Um Arqueólogo Digital para a Nuvem: Google Apresenta o Veles
Na vasta e complexa cadeia de produção de software, pequenos segredos podem causar grandes estragos. Uma senha esquecida em um arquivo de configuração, uma chave de API perdida em um script de build... São esses os fantasmas que assombram os desenvolvedores. Para caçá-los, o Google acaba de lançar o Veles, um novo scanner de segredos de código aberto. A ferramenta foi projetada para vasculhar os cantos mais obscuros dos sistemas digitais, lugares que muitas vezes passam despercebidos pelas varreduras de segurança convencionais.
O Veles chega como parte do ecossistema OSV-SCALIBR (Software Composition Analysis LIBRary) do Google. Sua missão é clara: detectar a exposição não intencional de credenciais sensíveis não apenas no código-fonte, mas principalmente onde o perigo se esconde de forma mais sutil: em registros de pacotes, artefatos de build e imagens de contêiner. Segundo comunicado do Google, a empresa já utiliza o Veles internamente para escanear centenas de milhões de artefatos de código aberto, o que demonstra a escala do desafio.
Além do Código-Fonte: A Fronteira Esquecida da Segurança
Plataformas como GitHub e GitLab já fazem um excelente trabalho ao monitorar repositórios públicos em busca de segredos vazados no código. No entanto, o Google aponta que o risco vai muito além. Quando um software é compilado e empacotado, ele gera uma série de artefatos que podem conter, acidentalmente, informações confidenciais. Publicar esses pacotes em repositórios abertos como Maven Central, PyPI ou DockerHub pode expor essas credenciais a agentes mal-intencionados.
É exatamente nesse ponto cego que o Veles atua. Ele foi construído para analisar esses pacotes e imagens, que frequentemente incluem binários compilados, scripts e arquivos de configuração. A empresa afirma que, com o uso da ferramenta, já obteve resultados significativos, identificando e reportando chaves de API, chaves de contas de serviço e segredos de clientes OAuth expostos em um grande volume de artefatos históricos. É o trabalho de um verdadeiro arqueólogo digital, escavando o passado para proteger o futuro.
Integrado ao Google Cloud, Aberto para o Mundo
A credibilidade do Veles é reforçada por seu uso intensivo dentro do próprio ecossistema do Google. A ferramenta já é o motor por trás da varredura de segredos em produtos do Google Cloud, como o Artifact Registry e o Security Command Center (SCC). Ao integrá-lo ao SCC, a companhia busca fortalecer tanto a segurança "shift-left" (no início do ciclo de desenvolvimento) quanto a "shift-right" (na infraestrutura em produção), analisando ambientes como o Compute Engine e o Google Kubernetes Engine (GKE).
Por ser implementado como uma biblioteca na linguagem Go, o Veles oferece alta flexibilidade. Desenvolvedores podem integrar sua API diretamente em seus próprios projetos de segurança através da classe DetectionEngine. Alternativamente, para quem prefere um caminho mais direto, ele pode ser utilizado através do pacote Python osv-scalibur, com um simples comando no terminal.
Um Começo Focado com um Futuro Ambicioso
Em seu lançamento inicial, o Veles chega com um conjunto limitado, porém focado, de detectores. Atualmente, ele é capaz de identificar chaves de API do Google Cloud Platform (GCP), chaves de contas de serviço do GCP e chaves de API do RubyGems. Embora possa parecer pouco, o Google salienta que a arquitetura da ferramenta foi pensada para ser facilmente extensível.
A empresa deixou claro que planeja expandir o suporte para outros tipos de segredos ao longo do tempo. Segundo os engenheiros do Google citados no artigo da InfoQ, o objetivo de longo prazo é ambicioso: fazer com que o Veles cubra centenas, ou talvez até milhares, de tipos diferentes de credenciais. Ao disponibilizar o Veles como open source, o Google não está apenas limpando seus próprios sistemas, mas entregando à comunidade uma poderosa ferramenta para fortalecer a segurança de toda a cadeia de suprimentos de software, um segredo vazado de cada vez.