BR-Linux.org

A postura controversa de Linus Torvalds em relação à coexistência entre ferramentas de IA e o desenvolvimento do kernel Linux teve mais um capítulo neste domingo, quando o finlandês lançou um novo RC do kernel 7.1 e aproveitou para se queixar da inundação de relatos de bugs que tem sido enviados por usuários de ferramentas de ~análise baseadas em IA/LLM, que “basicamente tornou a lista de discussão sobre segurança quase totalmente incontrolável”.

O efeito prático descrito por Torvalds, sobre essa lista de discussão de alta prioridade e relevância, está centrado na consequência, e não no fenômeno originário: “As pessoas de lá passam o tempo todo encaminhando coisas para as pessoas certas ou dizendo ‘isso já foi consertado há uma semana/mês’”.

A causa, naturalmente, está relacionada a um monte de gente que não domina o código, nem o processo, estar aplicando um mesmo conjunto de ferramentas a uma mesma base de código, e encaminhando o resultado, acreditando estar contribuindo – “o que é uma agitação totalmente sem sentido”, conclui Torvalds, que ainda observa que o fato de a lista de segurança ser (por razões práticas de sua finalidade) fechada ainda impede que as pessoas que enviam relatos possam consultar se ele já foi enviado por alguém antes.

Sobre o papel dos LLM nesse cenário, Linus também se posiciona:

As ferramentas de IA são ótimas, mas apenas se realmente ajudarem, em vez de causarem sofrimento desnecessário e trabalho de faz-de-conta inútil. Sinta-se à vontade para usá-las, mas use-as de uma forma que seja produtiva e proporcione uma experiência melhor.

Ou, acrescento eu, quem sabe prefira usar ferramentas que multipliquem o seu conhecimento, ou aplique ferramentas a áreas que você domina? Mesmo se não fosse IA, gerar relatórios sobre algo que você não compreende integralmente, e encaminhá-los para especialistas no ramo, que teriam acesso às mesmas ferramentas se quisessem, não parece o melhor uso de recursos.

Via @jbz, no Fediverso.

Quinta atualização da versão estável Debian 13 (Trixie) traz ajustes e correções, inclusive para questões de segurança – que também estão disponíveis para quem instalou as versões anteriores do Debian Trixie e as manteve atualizadas a partir dos repositórios oficiais.

Além do retorno do BR-Linux (ainda em andamento, aos poucos a gente chega lá!), o final de semana nos trouxe o Debian 13.5, com novas imagens de instalação à disposição para download. O anúncio oficial inclui a longa lista de atualizações, que vão desde riscos relacionados ao singelo editor nano até questões relacionadas a componentes de alta visibilidade, como o PHP e o X.Org.

Vale sublinhar: se você já tem o Debian 13 instalado, não há necessidade de reinstalar, basta atualizar pelos recursos usuais. A versão 13.5 é uma conveniência para quem for fazer novas instalações, pois já inclui uma linha de base atualizada das atualizações e correções aplicadas ao longo do ciclo de vida da distribuição.

Na data de hoje, mas em 1992, aconteceu um marco triste na história do software nacional: foi fechado o conteúdo da fita oficial de distribuição do SOX 5.3, derradeira versão do Unix brasileiro, desenvolvido pela Cobra e homologado como um Unix System V legítimo, pela X/Open, nos EUA.

A reserva de mercado tinha acabado de acabar, e todo mundo queria passar a importar Unix do exterior. Mas ainda deu tempo de os últimos binários, compilados a partir de fontes datados de janeiro e fevereiro do mesmo ano, trazerem as modificações feitas após os testes realizados nos EUA para a certificação internacional.

Os arquivos para integração com protocolos bancários foram revisados uma última vez, garantindo mais alguns anos¹ de operação no Banco do Brasil, maior cliente da Cobra.

O SOX nasceu na década de 1980, quando Linus Torvalds ainda nem sonhava em um dia ter um 386 e desenvolver nele um kernel, e foi um dos primeiros Unix-like totalmente independente da AT&T.

O SOX também tem a distinção de ter sido o único dessa geração a ter sido reconhecido com padrão Unix, mesmo tendo sido desenvolvido fora dos Estados Unidos.

Investimento será utilizado para reforçar a confiabilidade estrutural e a segurança da infra-estrutura central do KDE, incluindo o Plasma, o KDE Linux e as estruturas relacionadas aos serviços de comunicação integrantes do projeto.

Os recursos vem do Sovereign Tech Fund, um fundo mantido pelo governo alemão que tem investido em tecnologias abertas e alternativas a monopólios, cuja diretora declarou que contribuir com a infraestrutura de testes, a arquitetura de segurança e as estruturas de comunicação do KDE é uma forma de investir na resiliência e na confiabilidade da infraestrutura digital central da qual a sociedade moderna depende.

O comunicado do projeto KDE vai além e coloca com todas as letras: “O desrespeito das Big Techs pelas leis de privacidade e pelos dados pessoais dos indivíduos tornou-se uma questão de segurança nacional. À medida que notícias de má gestão intencional enchem as manchetes quase diariamente, o mundo está começando a se afastar de softwares caros e inseguros, cheios de spyware, empurrados por empresas como Microsoft, Google, Meta, Apple, et al.”

A agência alemã identificou no KDE uma oportunidade de investimento para melhorar a resiliência estrutural e modernizar a pilha de tecnologia de uma importante plataforma de desktop alternativa às das Big Techs, o que faz especial sentido quando consideramos que os recursos virão especificamente da parte do Fundo Soberano dedicada a apoiar infraestruturas digitais abertas vitais para administrações públicas, empresas e pessoas.

O CERN disponibilizou sua biblioteca interna de componentes KiCad, contendo mais de 17.000 símbolos de componentes eletrônicos, sob sua própria licença de hardware aberto.

O CERN, você sabe, é um centro europeu de pesquisas que também é um pioneiro do código aberto e da Internet aberta (afinal, foi lá que nasceu a web!). E o KiCad é um dos sucessos no mundo do CAD e EDA de código aberto, a ponto de ter seu formato de arquivo aceito como um dos padrões do mercado.

Desenvolvido desde 1992, o KiCad também contou com diversas contribuições do CERN em seu código, ao longo dos anos.

As distribuições já estão disponibilizando atualizações contra a vulnerabilidade Dirty Frag, prontas para uso em produção, e a recomendação é que você instale assim que possível¹, especialmente (mas não só) se outros usuários tem acesso a executar processos em sua máquina.

O Dirty Frag chegou ao conhecimento do público em geral menos de uma semana depois da movimentação causada por outra vulnerabilidade severa (chamada Copy Fail) e, assim como a da semana passada, resulta em usuários não privilegiados (incluindo em VMs) alcançam privilégios de root.

O Dirty Frag é determinístico, e não causa crash na hora em que roda, dificultando a detecção.

Sugestão: Procure a atualização e instruções adicionais no site da sua distribuição, e atualize o quanto antes.

Via: Linux bitten by second severe vulnerability in as many weeks - Ars Technica

Parênteses literais:

(que momento para trazer o BR-Linux de volta ao ar, hein? Ainda estou colocando a casa em ordem, mas estou voltando. Por enquanto falem comigo no Fediverso, lá eu sou o @autobrain).

Após algumas semanas tentando encontrar maneiras de continuar a conciliar o meu interesse em postar regularmente aqui para vocês e as exigências crescentes das minhas demais atividades, cheguei à conclusão de que é melhor suspender as tentativas e deixar o blog em férias por tempo indeterminado, enquanto não tiver condições de oferecer a atenção que vocês merecem.

O BR-Linux está no ar ininterruptamente desde 1996. Nos tempos áureos da primeira década do século XXI, cheguei a publicar médias de 12 a 15 artigos por dia, 7 dias por semana. Na década atual, o ritmo foi diminuindo no compasso de pelo menos 2 outros fenômenos interessantes, mas fora do meu domínio de interesse: a prevalência da disseminação de informação por outras mídias (redes sociais, vídeos) e a crescente mistura entre o noticiário sobre Linux e o noticiário corporativo.

Não são mudanças que me desagradam (pelo contrário, até), mas elas contribuem para reduzir a demanda por um blog textual com quase 22 anos de idade, cujo autor cada vez mais sente que já escreveu quase tudo que tinha para dizer sobre o assunto.

Quero agradecer a todos que contribuíram, participaram, apoiaram, leram, patrocinaram ou de outras formas fizeram parte da história do BR-Linux até aqui. Quero registrar também que não tenho a menor dúvida de que outros blogs, sites, fóruns, canais, grupos, sites e agremiações continuarão a disponibilizar informações e agregar a comunidade.

Não removam o BR-Linux dos feeds de vocês, porque eu - como eu fiz quando parei com o Efetividade.net, em circunstâncias similares - não vou me furtar a eventualmente escrever algo por aqui, caso surja a inspiração e o assunto. E deve surgir, porque continuo usuário de open source e de Linux.

Desativei os comentários porque julguei que seria melhor evitar a melancolia desta despedida, que pode ser por prazo curto. Se se quiserem dar um alô, vocês podem me encontrar no twitter, como @augustocc - de vez em quando posto sobre open source por lá, inclusive.

Obrigado, e até a próxima!

Augusto Campos