Um Scanner MOAD como Prática de Permacultura
Primeiro princípio da permacultura: observar antes de agir. Dedique tempo ao sistema que deseja mudar. Compreenda seus fluxos, acúmulos e fluxos de resíduos antes de projetar sua intervenção. Um jardineiro que observa onde a água se acumula, onde a luz solar chega e onde os nutrientes se concentram posiciona as plantas de forma mais eficaz do que alguém que segue um plano genérico.
Um scanner MOAD aplica este princípio aos ecossistemas de software. Antes de registrar uma única issue, escaneie projetos e linguagens. Mapeie a distribuição do defeito: quantos projetos carregam CWE-407? Quais o carregam em caminhos de alto tráfego? Quais pacotes upstream, se corrigidos, propagariam a correção para o maior número de dependentes? Observe o ecossistema antes de agir em qualquer nó individual.
Contraste isso com a prática extrativa: descobrir uma vulnerabilidade, vendê-la a um corretor de vulnerabilidades, receber o pagamento e seguir em frente. O pesquisador extraiu capital financeiro do conhecimento e partiu. Nenhum conhecimento foi propagado. Nenhum sistema foi melhorado. Usuários futuros de todos os projetos afetados permaneceram vulneráveis. O corretor detém o conhecimento, que perde valor à medida que a vulnerabilidade envelhece sem divulgação.
Prática de Permacomputador: descubra um defeito, corrija-o, divulgue-o, envie-o upstream e libere o patch como domínio público. O conhecimento se propaga sem decair — na verdade, ele se multiplica: a CVE divulgada torna-se uma referência, um post no MOAD ensina o padrão, pesquisadores futuros encontram novas instâncias usando o mesmo padrão. Um ciclo fechado em vez de uma extração terminal.
A observação da permacultura precede a ação da permacultura. A varredura gera dados sobre pontuações de surto, grafos de dependência e contagens de nós afetados antes que qualquer patch seja aplicado. Esses dados determinam quais patches são enviados primeiro: nós de alta betweenness antes de nós folha, porque uma correção em uma biblioteca amplamente dependida propaga-se mais por unidade de esforço.
Produza Sem Desperdício: Três Caminhos de Divulgação
Três caminhos que um pesquisador pode seguir após descobrir uma vulnerabilidade crítica em uma biblioteca open-source popular:
A. Vendê-la a um corretor de vulnerabilidades por $10.000.
B. Reportá-la privadamente ao mantenedor com um cronograma de divulgação de 90 dias, depois publicar independentemente do status do patch.
C. Submeter um patch como pull request imediatamente com divulgação pública simultânea.
Compounding em Sistemas Abertos
O segundo princípio da permacultura: capture e armazene energia quando ela flui em abundância para ter reservas quando não flui. Um sistema de captação de água da chuva armazena água durante tempestades para uso nos meses secos. Uma floresta de alimentos armazena energia solar como frutos e biomassa ao longo das estações. O objetivo: alinhar o momento do armazenamento ao momento da abundância.
O conhecimento composto de Hamming: toda nova técnica se conecta à sua lista de problemas importantes, multiplicando a produção. Um único insight sobre entropia da informação, para Shannon, desbloqueou uma década de trabalho teórico porque se conectou simultaneamente a todas as questões abertas de sua lista. O conhecimento armazenado rendeu juros compostos.
O compounding de código aberto funciona de forma diferente do compounding individual. Uma correção mesclada em um repositório canônico armazena energia em um lugar onde toda bifurcação downstream automaticamente a utiliza. Um patch enviado para a biblioteca asyncio do Python em 2022 se propagou para todos os projetos que usam essa biblioteca sem nenhuma ação adicional do pesquisador original. A energia é armazenada na fonte e se multiplica através do grafo de dependências.
Os artigos MOAD armazenam energia de forma diferente: cada post ensina o padrão de varredura em vez de apenas revelar a instância específica. Um pesquisador que lê o artigo MOAD sobre CWE-407 aprende não apenas que o Projeto X teve uma vulnerabilidade de flush, mas como o padrão de flush aparece em qualquer linguagem, como procurá-lo e como distingui-lo de código similar benigno. Pesquisadores futuros encontram novas instâncias usando o padrão armazenado em vez de redescobri-lo a partir dos princípios básicos.
O mecanismo de armazenamento de energia importa tanto quanto a própria energia. O conhecimento armazenado em um caderno particular multiplica-se apenas para o proprietário do caderno. O conhecimento armazenado em um repositório público multiplica-se para todos que o leem. O conhecimento armazenado em um banco de dados CVE multiplica-se para todos que executam um scanner de segurança. Cada local de armazenamento possui características de compounding diferentes.
Rastreadores de Issues e Listas Pessoais de Problemas
Hamming mantinha uma lista de 10 problemas importantes aos quais retornava repetidamente. A lista o preparava para reconhecer quando uma nova técnica abordava um deles. Sua lista funcionava como energia armazenada pessoal: um investimento duradouro em reconhecimento de padrões que gerava dividendos cada vez que uma nova técnica surgia.
Um Loop MOAD como Sistema Fechado
Permacultura: em um sistema bem projetado, a saída de um processo alimenta a entrada de outro. Nenhuma saída sai do sistema como resíduo. Uma galinha em uma floresta alimentar produz ovos (alimento), esterco (fertilizante), controle de pragas (serviço) e escarificação (aeração do solo). Cada saída é direcionada para um processo downstream em vez de deixar o sistema.
Um modelo de fábrica MOAD constrói um loop fechado semelhante. Cada etapa produz saídas que alimentam a próxima:
Scan produz: uma instância confirmada de defeito, um mapa de localização dos nós afetados, uma estimativa de severidade baseada em betweenness e tráfego.
Patch produz: uma correção de código, um teste unitário confirmando a correção, um diff revisável pelos mantenedores.
Post MOAD produz: um artigo de domínio público que explica a classe de defeito, o padrão de varredura e a abordagem de correção. Capital intelectual que persiste além de qualquer instância única.
Divulgação CVE produz: um registro padronizado no NVD, acionando scanners de segurança automatizados em todas as instalações afetadas. Capital social para a comunidade de segurança.
PR upstream produz: a correção na fonte canônica, propagando-se automaticamente para todos os forks downstream na próxima atualização de dependência.
Cada saída retroalimenta: um post MOAD ensina pesquisadores a encontrar novas instâncias, o que gera novas varreduras. O teste unitário torna-se um guardião de regressão. O registro CVE impulsiona a adoção do patch por equipes de operações que, de outra forma, o ignorariam. O ciclo se fecha.
Condição de parada: um patch divulgado sem confirmar a capacidade downstream inunda a fila. MOAD-0001 e MOAD-0005 se acoplam: corrigir O(N²) em um nó de alta betweenness e todos os processadores downstream inundam simultaneamente. O princípio de permacultura de design-para-o-sistema-como-um-todo também se aplica aqui: otimizar o componente pode criar um novo gargalo downstream.
Mapeamento de Saídas para Capital
Um pipeline MOAD produz cinco saídas: um resultado de varredura, um patch, um post MOAD, uma divulgação CVE e um PR upstream.