0
0
Os ciclos rápidos de desenvolvimento e implantação há muito são criticados pelo potencial de introduzir mais falhas no software. Mas o ditado “mova rápido e quebre as coisas” não se sustenta em ambientes modernos, que estão sendo cada vez mais alvo de agentes mal-intencionados. Por outro lado, ciclos de lançamento mais rápidos também podem significar que os patches podem ser implementados mais rapidamente – e esse é apenas um fator que está acelerando a taxa na qual as equipes de software podem corrigir bugs.
À medida que a demanda por software confiável e seguro aumenta, várias táticas e tecnologias surgiram para ajudar as equipes a criar, manter, corrigir e proteger seus aplicativos com mais rapidez do que nunca. Abordagens como DevSecOps, programas de recompensa de bugs, relatórios de bugs de código aberto e até mesmo o Project Zero do Google tiveram uma influência substancial em como protegemos o software. Mas se identificar e corrigir vulnerabilidades ficou mais fácil, por que ainda estamos lendo sobre tantas violações? Vamos explorar.
Novas táticas aceleram a correção de bugs
A ampla adoção de soluções DevOps e fluxos de trabalho de organização, que vimos nos últimos anos, significa ciclos de lançamento de software mais rápidos. Em um passado não tão distante, uma empresa de software lançava uma versão atualizada a cada poucos meses, que continha correções para problemas de segurança detectados e corrigidos naquele período. Qualquer coisa que ainda não fosse descoberta ou consertada teria que esperar pelo próximo lançamento em alguns meses. Com a metodologia e a tecnologia DevOps instaladas, fornecedores de software e mantenedores de projetos de código aberto lançam versões de seus produtos dezenas de vezes por dia — quando a correção está pronta, o produto a recebe, reduzindo drasticamente o tempo de correção.
Algumas organizações estão indo além para implementar a segurança nos processos de desenvolvimento. A pesquisa do ESG mostra que 62% das organizações têm um plano ou estão avaliando casos de uso para implementação de DevSecOps. E as organizações que já implementaram esses processos estão vendo melhorias radicais na velocidade com que podem identificar e corrigir vulnerabilidades.
Os programas de recompensas por bugs também se tornaram populares. Algumas plataformas permitem que fornecedores de software usem o poder do crowdsourcing para descobrir problemas de segurança em seus próprios produtos. Esse fluxo deve ser gerenciado com uma estrutura dedicada para correção de bugs. E conforme a descoberta de problemas cresce, a organização é compelida a criar melhores maneiras de corrigi-los, e o tempo para correção está diminuindo.
Dentro da comunidade de código aberto, as soluções de gerenciamento de código, como GitHub, GitLab e outras, têm uma maneira integrada de relatar e rastrear problemas de segurança para que mantenedores e usuários de código aberto possam relatar e acompanhar facilmente as vulnerabilidades apresentadas em um projeto de código aberto . A informação é pública (sobre os projetos públicos), e os mantenedores e a comunidade se sentem comprometidos em corrigir os problemas rapidamente.
Um fator final é o impacto causado pelo Project Zero do Google. Como parte dessa iniciativa, o Google tem uma equipe de pesquisadores de segurança dedicados a estudar vulnerabilidades de dia zero nos sistemas de hardware e software dos quais dependem usuários em todo o mundo. Em 2021, o Projeto Zero do Google detectou um recorde de 58 vulnerabilidades de dia zero em estado selvagem.
Além disso, a maioria das empresas de software apresentadas no conjunto de dados do Project Zero não são fornecedores de software comuns, e o projeto força essas grandes empresas de tecnologia a corrigir problemas de segurança em 90 dias, o que resulta em mudanças na cultura de engenharia e na estrutura organizacional conforme o comunidade de engenharia em geral emula os grandes inovadores.
Os desafios permanecem, afetando a segurança do software
Os patches de software geralmente são fornecidos por meio de atualizações que exigem que o consumidor atualize para a versão mais recente, uma mudança que geralmente pode afetar as operações. A resolução em tempo hábil pode até ser impossível, em alguns casos. Atualmente, as empresas que desenvolvem software geralmente dependem de uma alta porcentagem de código-fonte aberto e de muitos componentes que criam complexidade. A atualização de uma biblioteca de código aberto, da qual uma empresa depende em toda a sua base de código, ou uma versão específica de uma imagem docker, pode significar mudanças substanciais em seus produtos. Uma única correção de segurança pode criar uma enorme quantidade de trabalho para as equipes de engenharia. Como resultado, as equipes devem priorizar as correções de bugs e apenas os problemas críticos de segurança estão sendo resolvidos.
Melhorias na Segurança de Software
Automação é a chave . É impossível para consumidores e fornecedores de software lidar com uma grande quantidade de riscos de segurança em grandes bases de código sem usar um processo automatizado para detecção, correção e prevenção. Priorizar também é importante. Uma pequena equipe de engenharia pode facilmente ficar sobrecarregada com todos os possíveis problemas de segurança divulgados, mas isso geralmente não afeta seu software. Para determinar se os aplicativos são afetados por riscos de segurança, as empresas precisam adotar uma abordagem abrangente — desde o código-fonte, passando pelos pipelines de DevOps que o liberam e por meio do ambiente de produção na nuvem. Conectar esses pontos ajuda os engenheiros a gerenciar adequadamente os riscos de segurança em aplicativos.
As empresas também devem empregar tecnologias para avaliar a integridade e a reputação do código-fonte aberto. Os fatores a serem avaliados incluem qualidade, capacidade de manutenção, popularidade e risco de incidentes na cadeia de suprimentos. As ferramentas de segurança automatizadas também podem desempenhar um papel aqui, impedindo que códigos arriscados entrem na base de código e notificando os desenvolvedores sobre pacotes potencialmente perigosos. Além disso, empregar uma lista de materiais de software (SBOM ) pode fornecer transparência nos componentes de software usados em aplicativos, acelerar a identificação e correção de possíveis vulnerabilidades e ajudar a alcançar a conformidade com os regulamentos governamentais.
FONTE: DARK READING