0
0
O Secure Code Warrior divulgou resultados de sua pesquisa, que constatou que as ações e atitudes dos desenvolvedores em relação à segurança do software estão em conflito. Embora muitos desenvolvedores reconheçam a importância de aplicar uma abordagem baseada em segurança no ciclo de vida do desenvolvimento de software, 86% não veem a segurança do aplicativo como prioridade máxima ao escrever código.
A pesquisa constatou que mais da metade dos 1200 desenvolvedores pesquisados não conseguem garantir que seu código esteja protegido contra sete vulnerabilidades comuns. Este é um fator contribuinte para outro achado importante – que apenas 29% dos desenvolvedores acreditam que a prática ativa de escrever código livre de vulnerabilidades deve ser priorizada.
Apesar de desenvolvedores e organizações reconhecerem que ameaças e vulnerabilidades em aplicativos-chave poderiam ter sido mitigadas no início do processo de desenvolvimento, elas continuam a tomar medidas reativas para resolver as falhas.
Os desenvolvedores continuam a enfrentar prioridades concorrentes e apontam para inúmeras barreiras relacionadas ao gerenciamento que os impedem de criar código seguro no início do ciclo de vida do desenvolvimento de software. Isso se deve principalmente a restrições de tempo para cumprir prazos (24%), ou desenvolvedores que não têm treinamento ou orientação suficientes sobre como implementar codificação segura de seus gerentes (20%).
Diferentes experiências de treinamento são necessárias agora mais do que nunca
O treinamento continua sendo uma grande influência sobre a aplicação de codificação segura dos desenvolvedores, pois 81% estão utilizando os conhecimentos obtidos a partir do treinamento quase diariamente. No entanto, enquanto muitos desenvolvedores estão utilizando mecanismos de treinamento diariamente, a pesquisa descobriu que 67% ainda estão enviando conscientemente vulnerabilidades em seu código.
Um em cada quatro desenvolvedores quer mais treinamento guiado por multimídia auto-acelerada e um em cada cinco acredita que o treinamento seria percebido como muito melhorado se uma certificação do setor fosse um resultado.
“Os desenvolvedores querem fazer a coisa certa, e enquanto eles estão começando a se preocupar mais com a segurança, seu ambiente de trabalho nem sempre torna mais fácil para eles torná-lo uma prioridade. Muitas vezes, as ferramentas à sua disposição – e métodos que estão implantando – resultam em ‘passar’, em vez de reduzir ativamente o risco, e suas prioridades permanecem desalinhadas com a equipe de segurança”, disse Pieter Danhieux, CEO da Secure Code Warrior.
“Embora as organizações incentivem práticas seguras de codificação, os desenvolvedores não estão claros sobre como elas são definidas em seu dia-a-dia de trabalho e o que se espera delas. Para alcançar um padrão mais alto de qualidade de código, as organizações devem formalizar padrões de codificação seguros à medida que se aplicam aos desenvolvedores e orientar uma mudança de comportamento que reforça bons padrões de codificação e permite a segurança em velocidade.”
Descobertas adicionais apontam para as dificuldades em curso que os desenvolvedores continuam enfrentando em sua jornada segura de codificação:
- 36% atribuem a prioridade de cumprimento de prazos como principal razão pela qual sua codificação ainda possui vulnerabilidades
- 33% não sabem o que torna seu código vulnerável
- 30% acham que seu treinamento interno de segurança poderia ser melhorado se tivesse treinamento mais prático com cenários e resultados do mundo real
- 30% dizem que a maior preocupação com a implementação e prática de codificação segura é lidar com vulnerabilidades introduzidas pelos colegas de trabalho
FONTE: HELPNET SECURITY