0
0
Com, sem dúvida, uma proporção maior de aplicativos para enfrentar do que outras indústrias, as empresas de tecnologia se beneficiariam da implementação de treinamento e práticas de codificação segura aprimoradas para suas equipes de desenvolvimento. Na verdade, a Veracode revelou que 24% dos aplicativos no setor de tecnologia contêm falhas de segurança consideradas de alto risco, o que significa que elas causariam um problema crítico para o aplicativo se exploradas.
“Oferecer aos desenvolvedores uma experiência prática e real do que é necessário para detectar e explorar uma falha no código — e seu impacto potencial no aplicativo — fornece o contexto e a compreensão para desenvolver sua intuição sobre segurança de software. Nossa pesquisa descobriu que as organizações cujos desenvolvedores concluíram apenas uma lição em nosso programa de treinamento prático de laboratórios de segurança corrigiram 50% das falhas dois meses mais rápido do que aquelas sem esse treinamento”, disse Chris Eng , diretor de pesquisa da Veracode.
O setor de tecnologia revelou ter a segunda maior proporção de aplicativos que contêm falhas de segurança, com 79%, o que o torna marginalmente melhor do que o setor público, com 82%. O setor de tecnologia fica no meio do pacote quando se trata da proporção de falhas corrigidas.
As empresas de tecnologia são comparativamente rápidas em corrigir falhas de segurança de software
De forma encorajadora, quando as empresas de tecnologia descobrem falhas em seus aplicativos, elas são comparativamente rápidas para chegar à metade do caminho da correção. Na verdade, o setor possui tempos de correção para falhas descobertas por testes de segurança de análise estática (SAST) e análise de composição de software (SCA).
A indústria ainda leva até 363 dias para corrigir 50% das falhas, sugerindo que ainda há muito espaço para melhorias.
Eng acrescentou: “Log4j provocou um alerta para muitas organizações em dezembro passado. Isso foi seguido por uma ação do governo na forma de orientação do Escritório de Administração e Orçamento ( OMB ) e da Lei Europeia de Resiliência Cibernética, ambas com foco na cadeia de suprimentos”.
Ele continuou: “Para melhorar o desempenho no próximo ano, os negócios de tecnologia não devem apenas considerar estratégias que ajudem os desenvolvedores a reduzir a taxa de falhas introduzidas no código, mas também colocar maior ênfase na automação de testes de segurança na Integração Contínua/Entrega Contínua ( CI/ CD ) para aumentar a eficiência.”
Configuração do servidor, dependências inseguras e vazamento de informações são os tipos mais comuns de falhas descobertas pela análise dinâmica de aplicativos de tecnologia, que segue amplamente um padrão semelhante a outros setores.
Por outro lado, o setor exibe a maior disparidade em relação à média do setor para problemas criptográficos e vazamento de informações, talvez indicando que os desenvolvedores do setor de tecnologia são mais experientes nos desafios de proteção de dados.
FONTE: HELPNET SECURITY