Quase 32% dos aplicativos corporativos recém-introduzidos contêm falhas de segurança desde a primeira varredura de vulnerabilidade, diz a empresa de segurança de software Veracode em seu último relatório anual, intitulado State of Software Security, publicado nesta quarta-feira, 11.
Embora o relatório também mostre o que os pesquisadores do Veracode chamam de “período de lua de mel” que dura até um ano e meio após a introdução dos aplicativos, onde menos falhas são encontradas para serem introduzidas no código dos aplicativos; esse número aumenta novamente após um período mais longo. Após cinco anos de produção, quase 70% dos aplicativos contêm pelo menos uma falha de segurança.
“Isso mostra é que, à medida que avançam no ciclo de vida dos aplicativos, há algo que permite que os aplicativos piorem, seja a composição das equipes ou desenvolvedores entrando e saindo ou a base de código ficando mais complexa”, disse Chris Eng, diretor de pesquisa da Veracode, à Infosecurity
Os pesquisadores da Veracode, no entanto, não encontraram nenhuma correlação direta entre o crescimento de um aplicativo – quando seu código fica mais longo – e a taxa de introdução de falhas.
Com base nessas descobertas, a companhia concluiu que “o treinamento do desenvolvedor, o uso de vários tipos de varredura, incluindo varredura via API e frequência de varredura são fatores influentes na redução da probabilidade de introdução de falhas, sugerindo que as equipes devem torná-los componentes-chave de seus programas de segurança de software” .
“Por exemplo, pular meses entre as varreduras se correlaciona com uma chance maior de que falhas sejam encontradas quando uma varredura for executada”, disse um porta-voz em um comunicado.
Além disso, as principais falhas nos aplicativos variam de acordo com o tipo de teste. Por exemplo, as falhas de configuração do servidor representaram 96,5% das vulnerabilidades identificadas pela análise dinâmica do Veracode, mas apenas 11,1% de sua análise estática.
Veja isso
Aplicativos Android levaram usuários a sites de phishing
Panorama dos riscos em APIs, aplicativos e tráfego DNS
Com foco maior na lista de materiais de software (SBOMs) no ano passado, um requisito que fazia parte da ordem executiva de 2021 do presidente Biden, intitulada “Melhorando a segurança cibernética da nação”, a equipe de pesquisa da Veracode também examinou 30 mil repositórios de código aberto hospedados no GitHub.
Dos repositórios examinados, 10% deles não tiveram um commit — uma mudança no código-fonte — por quase seis anos. “O uso de uma solução de análise de composição de software [SCA] que aproveita várias fontes de falhas, além do Banco de dados Nacional de Vulnerabilidade, dará um aviso prévio às equipes assim que uma vulnerabilidade for divulgada e permitirá que implementem proteções mais rapidamente, esperançosamente antes do início da exploração. Também é recomendável definir políticas organizacionais em torno da detecção e gerenciamento de vulnerabilidades, bem como considerar maneiras de reduzir as dependências de terceiros.”
O relatório da Veracode foi baseado em 750 mil aplicativos corporativos em todos os setores, verificados usando três métodos: análise estática, análise dinâmica e análise de composição de software (SCA).Fonte: Veracode
