0
0
Quase 32% dos aplicativos corporativos recém-introduzidos contêm falhas de segurança desde a primeira varredura de vulnerabilidade, diz relatório.
Quase 32% dos aplicativos corporativos recém-introduzidos contêm falhas de segurança desde a primeira varredura de vulnerabilidade, diz a empresa de segurança de software Veracode em seu último relatório anual, intitulado State of Software Security, publicado nesta quarta-feira, 11.
Embora o relatório também mostre o que os pesquisadores do Veracode chamam de “período de lua de mel” que dura até um ano e meio após a introdução dos aplicativos, onde menos falhas são encontradas para serem introduzidas no código dos aplicativos; esse número aumenta novamente após um período mais longo. Após cinco anos de produção, quase 70% dos aplicativos contêm pelo menos uma falha de segurança.
“Isso mostra é que, à medida que avançam no ciclo de vida dos aplicativos, há algo que permite que os aplicativos piorem, seja a composição das equipes ou desenvolvedores entrando e saindo ou a base de código ficando mais complexa”, disse Chris Eng, diretor de pesquisa da Veracode, à Infosecurity
Os pesquisadores da Veracode, no entanto, não encontraram nenhuma correlação direta entre o crescimento de um aplicativo – quando seu código fica mais longo – e a taxa de introdução de falhas.
Com base nessas descobertas, a companhia concluiu que “o treinamento do desenvolvedor, o uso de vários tipos de varredura, incluindo varredura via API e frequência de varredura são fatores influentes na redução da probabilidade de introdução de falhas, sugerindo que as equipes devem torná-los componentes-chave de seus programas de segurança de software” .
“Por exemplo, pular meses entre as varreduras se correlaciona com uma chance maior de que falhas sejam encontradas quando uma varredura for executada”, disse um porta-voz em um comunicado.
Além disso, as principais falhas nos aplicativos variam de acordo com o tipo de teste. Por exemplo, as falhas de configuração do servidor representaram 96,5% das vulnerabilidades identificadas pela análise dinâmica do Veracode, mas apenas 11,1% de sua análise estática.
Com foco maior na lista de materiais de software (SBOMs) no ano passado, um requisito que fazia parte da ordem executiva de 2021 do presidente Biden, intitulada “Melhorando a segurança cibernética da nação”, a equipe de pesquisa da Veracode também examinou 30 mil repositórios de código aberto hospedados no GitHub.
Dos repositórios examinados, 10% deles não tiveram um commit — uma mudança no código-fonte — por quase seis anos. “O uso de uma solução de análise de composição de software [SCA] que aproveita várias fontes de falhas, além do Banco de dados Nacional de Vulnerabilidade, dará um aviso prévio às equipes assim que uma vulnerabilidade for divulgada e permitirá que implementem proteções mais rapidamente, esperançosamente antes do início da exploração. Também é recomendável definir políticas organizacionais em torno da detecção e gerenciamento de vulnerabilidades, bem como considerar maneiras de reduzir as dependências de terceiros.”
O relatório da Veracode foi baseado em 750 mil aplicativos corporativos em todos os setores, verificados usando três métodos: análise estática, análise dinâmica e análise de composição de software (SCA).Fonte: Veracode
FONTE: CISO ADVISOR