0
0
O Veracode revelou dados que podem economizar tempo e dinheiro das organizações, ajudando os desenvolvedores a minimizar a introdução e o acúmulo de falhas de segurança em seus softwares.
O relatório descobriu que o acúmulo de falhas ao longo do tempo é tal que 32% dos aplicativos apresentam falhas na primeira verificação e, quando estão em produção há cinco anos, 70% contêm pelo menos uma falha de segurança.
Com o custo médio de uma violação de dados de US$ 4,35 milhões , as equipes devem priorizar a correção no início do ciclo de vida do desenvolvimento de software para minimizar o risco causado pelo acúmulo de falhas.
“Como em todos os nossos estudos, nos propusemos a fornecer insights que os desenvolvedores possam colocar em ação imediatamente. A partir das descobertas deste ano, surgiram duas considerações importantes: como diminuir a chance de falhas serem introduzidas em primeiro lugar e como reduzir o número dessas falhas que são introduzidas. Além dos controles de acesso técnico, as práticas de codificação segura são ainda mais cruciais para a segurança cibernética em 2023 e além”, disse Chris Eng , CRO da Veracode.
Nenhuma correlação direta entre o crescimento do aplicativo e a introdução de falhas
Após a verificação inicial, os aplicativos entram rapidamente em um ‘período de lua de mel’ de estabilidade e 80% não assumem nenhuma nova falha nos primeiros 1,5 anos. Após esse ponto, no entanto, o número de novas falhas introduzidas começa a subir novamente para aproximadamente 35% na marca de cinco anos.
O estudo descobriu que o treinamento do desenvolvedor, o uso de vários tipos de varredura, incluindo varredura via API e frequência de varredura são fatores influentes na redução da probabilidade de introdução de falhas, sugerindo que as equipes devem torná-los componentes-chave de seus programas de segurança de software.
Por exemplo, pular meses entre as varreduras está relacionado a uma chance maior de que falhas sejam encontradas quando uma varredura for executada. Além disso, as principais falhas nos aplicativos variam de acordo com o tipo de teste, destacando a importância de usar vários tipos de verificação para garantir que falhas difíceis de identificar não sejam perdidas.
A fragilidade do código aberto
Com foco maior na lista de materiais de software no ano passado, a equipe de pesquisa da Veracode também examinou 30.000 repositórios de código aberto hospedados publicamente no GitHub. Curiosamente, 10% dos repositórios não tiveram um commit—uma mudança no código-fonte—por quase seis anos.
“O uso de uma solução de análise de composição de software ( SCA ) que aproveita várias fontes de falhas, além do Banco de Dados Nacional de Vulnerabilidade, dará um aviso prévio às equipes assim que uma vulnerabilidade for divulgada e permitirá que implementem proteções mais rapidamente, esperançosamente antes do início da exploração. Também é recomendável definir políticas organizacionais em torno da detecção e gerenciamento de vulnerabilidades, além de considerar maneiras de reduzir as dependências de terceiros”, disse o Eng.
Passos para o sucesso
A pesquisa da Veracode revela os principais passos que as equipes de segurança e desenvolvimento devem seguir:
- Enfrente a dívida técnica ou de segurança o mais cedo e o mais rápido possível . A curva de correção deve cair mais cedo e mais rápido porque um aplicativo terá falhas acumuladas quando completar dois anos. Seja pelo aumento da complexidade de anos de crescimento constante ou pela diminuição do foco no desenvolvimento de aplicativos, essa tendência continua ascendente, o que significa que há 90% de chance de um aplicativo conter pelo menos uma falha até a marca de 10 anos. A verificação frequente usando uma variedade de ferramentas ajuda a encontrar e corrigir falhas que podem ter sido introduzidas ou acumuladas ao longo do tempo.
- Priorize o treinamento de automação e segurança do desenvolvedor para fornecer a compreensão de quais vulnerabilidades são mais prováveis de serem introduzidas, bem como técnicas para evitar a introdução de falhas. No geral, os dados mostram uma chance de 27% de que novas falhas sejam introduzidas em um aplicativo em um determinado mês. As organizações que digitalizam via API reduzem essa probabilidade para 25%. Aqueles que concluírem 10 laboratórios de segurança – uma plataforma de treinamento que oferece experiência prática em detecção e correção de vulnerabilidades – também reduzem a probabilidade de introdução de falhas em 1,8% em um determinado mês.
- Estabeleça um protocolo de gerenciamento do ciclo de vida do aplicativo que incorpore gerenciamento de mudanças, alocação de recursos e controles organizacionais. Investigue como são as fases de suporte e controle de qualidade em sua organização. As discussões iniciais podem levar à obsolescência planejada para algumas aplicações e uma revisão dos processos e medidas de controle de qualidade envolvidas na engenharia contínua de produtos.
“Com o State of Software Report da Veracode, é fascinante examinar o acúmulo de falhas e o comportamento com base em quase duas décadas de dados. A amplitude e a profundidade dos dados nos permitem não apenas identificar as melhores práticas, mas também alguns dos fatores mais sutis que precisam ser abordados no início do processo de desenvolvimento para minimizar os riscos posteriormente”, disse Jay Jacobs , cientista de dados da o Instituto Cyentia.
FONTE: HELPNET SECURITY