A Synopsys publicou ontem o relatório “DevSecOps Practices and Open Source Management in 2020”, produzido pelo Synopsys Cybersecurity Research Center (CyRC), com os resultados de uma pesquisa feita com 1.500 profissionais de TI que trabalham em segurança cibernética, desenvolvimento de software, engenharia de software e desenvolvimento web. O relatório explora as estratégias que organizações em todo o mundo estão usando para lidar com o gerenciamento de vulnerabilidade de código aberto, e com o crescente problema da existência, em ambientes de produção, de componentes de código aberto desatualizados ou abandonados.
De acordo com o relatório OSSRA 2020, 75% das bases de código auditadas pela Synopsys contêm componentes de código aberto com vulnerabilidades de segurança conhecidas. Para combater essa situação, os respondentes da pesquisa citam a identificação de vulnerabilidades de segurança conhecidas como o critério número um ao examinar novos componentes de código aberto.
“Mais da metade dos entrevistados (51%) dizem que leva de duas a três semanas para aplicar um patch de código aberto”, disse Tim Mackey, principal estrategista de segurança do Synopsys Cybersecurity Research Center. “Isso provavelmente está relacionado ao fato de que apenas 38% estão usando uma ferramenta de análise de composição de software (SCA) automatizada para identificar quais componentes de código aberto estão em uso e quando as atualizações são lançadas. As organizações restantes provavelmente estão empregando processos manuais para gerenciar código aberto — Processos que podem desacelerar as equipes de desenvolvimento e operações, forçando-as a se atualizarem sobre a segurança em um clima em que, em média, dezenas de novas divulgações de segurança são publicadas diariamente”.
Outras descobertas notáveis do documento são:
- DevSecOps está crescendo rapidamente em todo o mundo. Em conjunto, 63% dos entrevistados relataram que estão incorporando alguma medida das atividades DevSecOps em seus pipelines de desenvolvimento de software.
- Não existe uma ferramenta de teste de segurança de aplicativo (AST) adotada universalmente. Como as respostas às perguntas da pesquisa indicam, não faltam ferramentas e técnicas de teste de segurança de aplicativos. No entanto, mesmo a ferramenta AST com a maior taxa de adoção ainda é utilizada apenas por menos da metade dos entrevistados.
- A mídia desempenha um papel importante no gerenciamento de riscos de código aberto. Quarenta e seis por cento dos entrevistados notaram que a cobertura da mídia levou sua organização a aplicar controles mais rígidos sobre o uso de código aberto.
- Quarenta e sete por cento dos entrevistados estão definindo padrões em torno da era dos componentes de código aberto que usam . Um problema crescente na comunidade de código aberto é a sustentabilidade do projeto. Um estudo Synopsys de 2020 mostrou que 91% das bases de código auditadas em 2019 continham componentes de código aberto que estavam desatualizados há mais de quatro anos ou não tiveram nenhuma atividade de desenvolvimento nos últimos dois anos. Os riscos de segurança aumentam quando o código obsoleto é implantado, incluindo a ameaça de um componente de código aberto sendo sequestrado. Tal situação ocorreu em 2018, quando o componente de fluxo de eventos foi sequestrado para direcionar Bitcoin em contas Copay.
O código aberto desempenha um papel crítico no ecossistema de software atual. A esmagadora maioria das bases de código modernas contém componentes de código aberto, com o código aberto geralmente compreendendo 70% ou mais do código geral. Ainda assim, paralelamente ao crescimento do uso do código aberto, está o crescente risco de segurança representado pelo código aberto não gerenciado afirma o relatório.
Com agências internacionais
