Com que frequência os desenvolvedores empurram códigos vulneráveis?

Views: 428
0 0
Read Time:1 Minute, 53 Second

Um relatório da Tromzo revela que os desenvolvedores remediam apenas 32% das vulnerabilidades e empurram regularmente códigos vulneráveis.

O relatório foi baseado em uma pesquisa com mais de 400 desenvolvedores com sede nos EUA que trabalham em organizações onde atualmente possuem ferramentas de CI/CD.

“Essas descobertas mostram que os desenvolvedores ignoram regularmente problemas de segurança, mas podemos realmente culpá-los?”, disse Tromzo CTO Harshit Chitalia. “As equipes de segurança estão bombardeando-os com um fluxo interminável de problemas que precisam ser resolvidos sem nenhuma maneira de separá-los do que é realmente crítico de todo o barulho, tudo isso enquanto eles são esperados para lançar software com mais frequência e mais rápido do que nunca.

“Se queremos que os desenvolvedores realmente implementem a segurança, devemos facilitar para eles. Isso significa integrar verificações de segurança contextuais e automatizadas no SDLC para que possamos passar de portões de segurança para guardrails de segurança.”

Desenvolvedores e o código vulnerável

  • 42% dos desenvolvedores empurram código vulnerável uma vez por mês. Quando um desenvolvedor publica conscientemente o código que acredita ser vulnerável, é claro que eles pensam que não é sua responsabilidade corrigir o código antes que ele seja empurrado ou outras pressões organizacionais desprioritizam a segurança.
  • Os desenvolvedores corrigem apenas 32% das vulnerabilidades conhecidas. Dado o volume de alertas falso-positivos com os quais as equipes lidam hoje, a fixação de 32% das vulnerabilidades poderia muito bem produzir um resultado aceitável se os desenvolvedores pudessem determinar quais 32% corrigir. Infelizmente, sem treinamento de segurança e experiência, não se espera que os desenvolvedores façam essa determinação com precisão.
  • Um terço das vulnerabilidades são ruídos. Para reduzir as vulnerabilidades falso-positivas, as varreduras devem ter acesso a todas as informações de ativos necessárias para que as ferramentas de segurança possam determinar com precisão se existe uma vulnerabilidade. Reduzir o ruído de segurança permitirá que os desenvolvedores resolvam com confiança os problemas de segurança.
  • 33% acreditam que os desenvolvedores e a segurança são siloed. Quando desenvolvedores e equipes de segurança operam em silos isolados, isso leva a ineficiências e lacunas na segurança em todo o ciclo de vida do desenvolvimento de software. Esses silos acabam levando a vulnerabilidades de segurança e experiências ruins do usuário.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS

Categorias

Posts Recentes

IA em ambientes regulados: o que muda na governança, segurança e controle de dados

08/05/2026 Cibersegurança, Proteção

Ameaças internas nas empresas: estratégias técnicas para proteger dados e reduzir riscos

06/05/2026 Ameaça, Proteção

Workforce IAM: como fortalecer a segurança e a resiliência em infraestruturas críticas

04/05/2026 Prevenção, Proteção

Além da residência de dados: por que o gerenciamento externo de chaves é a última linha de defesa

29/04/2026 Cibersegurança, Solução

Sincronização de passkeys vs.  dispositivos vinculados: qual a melhor escolha?

27/04/2026 Prevenção, Proteção

Zero trust para dados e IA: como evoluir a segurança sem travar a inovação

24/04/2026 Cibersegurança, Proteção
Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL