0
0
Veracode revelou dados de uso que demonstram que a segurança cibernética está se tornando mais automatizada e componentizada, de acordo com arquiteturas de software modernas e práticas de desenvolvimento.
A análise de 5.446.170 varreduras estáticas e mais de 310.000 aplicativos durante um período de 13 meses de setembro de 2020 a outubro de 2021 encontrou um crescimento surpreendente de 143% no número de pequenos aplicativos, como APIs e microsserviços, e um aumento de 133 por cento nas varreduras automatizadas executadas por APIs em vez de manualmente.
A COVID-19 acelerou a transformação digital nos últimos 18 meses, e as empresas estão competindo agressivamente para serem as primeiras a comercializar produtos e serviços digitais. A pressão sobre os desenvolvedores para criar e implantar software mais rápido do que nunca precipitou a mudança para DevSecOps – integrando Desenvolvimento, Segurança e Operações para tornar a Segurança de Aplicativos parte integrante do ciclo de vida do software. Finalmente, as empresas estão aplicando controles AppSec para proteger a integridade do processo de desenvolvimento, bem como dimensionando os padrões de pipeline DevSecOps em toda a empresa.
“O aumento da automação e componentização no desenvolvimento de software impulsionou um aumento acentuado na velocidade e automação da segurança de software à medida que as empresas buscam IA e aprendizado de máquina para identificação de falhas, modelagem de ameaças e remediação”, disse Chris Wysopal, CTO da Veracode. “Já vimos DevSecOps crescer rapidamente em maturidade e agora há uma oportunidade de mudar ainda mais a segurança para a fase de design para se tornar SecDevOps.”
A componentetização impulsiona a velocidade e a eficiência
Juntamente com a trajetória ascendente na automação, Veracode também encontrou uma tendência de queda na complexidade e tamanho do código que está sendo analisado, como evidenciado pela redução de 30% no número médio de módulos digitalizados por digitalização, indicando uma mudança para a digitalização de componentes individuais ou microsserviços. Isso não é surpreendente, considerando a rápida adoção de aplicativos componentizados e práticas DevOps.
Com grandes aplicativos divididos em pequenos componentes reutilizáveis – ou microsserviços – os desenvolvedores podem trabalhar de maneiras mais ágeis para iterar rapidamente e entregar continuamente em incrementos. Curiosamente, o aumento do desenvolvimento da API em primeiro lugar realmente melhorou a segurança do software, com o tempo médio para corrigir uma falha reduzida em cerca de 50% ao usar análise estática para APIs ou microsserviços. A verificação de APIs também permite que as organizações encontrem e corrijam vulnerabilidades nas APIs o mais cedo e eficientemente possível.
A segurança cibernética de software deve ser generalizada, não invasiva
Com o aumento do custo e da complexidade das práticas modernas de desenvolvimento de software, as empresas exigirão cada vez mais uma plataforma de segurança abrangente e totalmente integrada, com menos ferramentas díspares. Esta plataforma suporta segurança generalizada ou contínua porque:
- Começa na fase de projeto com modelagem de ameaças, garantindo que apenas componentes seguros sejam incorporados ao projeto. Isso muda ainda mais a segurança para a esquerda, de modo que o DevSecOps agora se torna SecDevOps, garantindo que o software seja ‘seguro por design’.
- Está totalmente integrado, mas também aberto a plugins de novas tecnologias, para fornecer cobertura abrangente analisando todas as dimensões possíveis do código. Esta abordagem de “painel único” capacita profissionais e desenvolvedores de segurança a entender o risco, priorizar os esforços de remediação e definir e monitorar os objetivos de progresso em várias dimensões.
- Oferece uma experiência de desenvolvedor sem atritos que permite que a análise de segurança atenda aos desenvolvedores onde eles trabalham – dentro dos pipelines IDE (Integrated Development Environment), CI/CD (Continuous Integration Continuous Development), repositórios de código e contêiner e sistemas de rastreamento de defeitos.
“Ataques recentes de alto perfil, como o hack Solar Winds, colocaram a vulnerabilidade da cadeia de suprimentos de software firmemente no centro das atenções”, acrescentou Wysopal. “As empresas agora buscam a próxima evolução da segurança de software para tranquilidade. Isso significa oferecer a garantia de orquestração contínua, como definição e gerenciamento de políticas, remediação em linha com a capacidade de “auto-cura” e inteligência em tempo de execução que destaca quaisquer falhas introduzidas à medida que os componentes subjacentes mudam.”
Dada a velocidade com que as vulnerabilidades de software podem se desenvolver, demonstrada recentemente quanto a vulnerabilidade de dia zero no Log4j 2.x que ainda está sendo explorada, a criticidade da segurança contínua e a mudança ainda mais para a esquerda não podem ser subestimadas.
FONTE: HELPNET SECURITY