A Veracode, fornecedora líder global de soluções modernas de teste de segurança de aplicativos, revelou que 24% dos aplicativos no setor de tecnologia contêm falhas de segurança consideradas de alto risco, o que significa que, se exploradas, causariam um problema crítico para o aplicativo. Com uma proporção indiscutivelmente maior de aplicativos para enfrentar do que outros setores, as empresas de tecnologia se beneficiariam da implementação de treinamento e práticas de codificação segura aprimoradas para suas equipes de desenvolvimento.
O diretor de pesquisa da Veracode, Chris Eng, disse: “Dar aos desenvolvedores uma experiência prática e real do que é necessário para detectar e explorar uma falha no código – e seu impacto potencial no aplicativo – fornece o contexto e a compreensão para construir sua intuição sobre segurança de software. Nossa pesquisa descobriu que as organizações cujos desenvolvedores concluíram apenas uma lição em nosso programa de treinamento prático de laboratórios de segurança corrigiram 50% das falhas dois meses mais rápido do que aquelas sem esse treinamento.”
Os dados foram publicados no relatório anual State of Software Security (SoSS) v12 da Veracode, que analisou 20 milhões de varreduras em meio milhão de aplicativos nos setores de tecnologia, varejo, manufatura, saúde, serviços financeiros e governo. No geral, o setor de tecnologia revelou ter a segunda maior proporção de aplicativos que contêm falhas de segurança, em 79%, tornando-o marginalmente melhor do que o setor público em 82%. O setor de tecnologia fica no meio do pacote quando se trata da proporção de falhas corrigidas.
As empresas de tecnologia são comparativamente rápidas em corrigir falhas de segurança de software
De forma encorajadora, quando as empresas de tecnologia descobrem falhas em seus aplicativos, elas são comparativamente rápidas para chegar à metade do caminho da correção. Na verdade, o setor possui tempos de correção líderes do setor para falhas descobertas por testes de segurança de análise estática (SAST) e análise de composição de software (SCA). Embora esta seja uma conquista louvável, a indústria ainda leva até 363 dias para corrigir 50% das falhas, sugerindo que ainda há muito espaço para melhorias.
Eng acrescentou: “Log4j provocou um alerta para muitas organizações. Isso foi seguido por uma ação do governo na forma de orientação do Office of Management and Budget (OMB) e da European Cyber Resilience Act, ambos com foco na cadeia de suprimentos. Para melhorar o desempenho no próximo ano, os negócios de tecnologia não devem apenas considerar estratégias que ajudem os desenvolvedores a reduzir a taxa de falhas introduzidas no código, mas também colocar maior ênfase na automação de testes de segurança no pipeline de Integração Contínua/Entrega Contínua (CI/CD) para aumentar a eficiência”.
Configuração do servidor, dependências inseguras e vazamento de informações são os tipos mais comuns de falhas descobertas pela análise dinâmica de aplicativos de tecnologia, que segue amplamente um padrão semelhante a outros setores. Por outro lado, o setor exibe a maior disparidade em relação à média do setor para problemas criptográficos e vazamento de informações, talvez indicando que os desenvolvedores do setor de tecnologia são mais experientes nos desafios de proteção de dados.
Clique abaixo para compartilhar este artigo