A responsabilidade pela segurança está cada vez mais compartilhada nas organizações. Essa conclusão está publicada no relatório “The State of Open Source Security 2020”, publicado na semana passada pela Snyk. A empresa é especializada em segurança de código e baseada em Londres. O documento reflete não só as preocupações de segurança de código aberto da comunidade, como tendências de vulnerabilidades entre pacotes e imagens de contêiner e também examina as práticas empregadas por mantenedores e organizações na proteção de seu software.
A indicação de quem é o responsável pela segurança nas organizações mudou em relação à pesquisa anterior: no ano passado, mais de 80% responderam que os desenvolvedores eram os responsáveis, e menos de 30% indicaram que as equipes de segurança e de operações também tinham um papel nessa responsabilidade. Neste ano, as respostas mostraram mais foco na responsabilidade compartilhada, com 85% apontando os desenvolvedores, 55% segurança e 35% operações (veja gráfico abaixo).
Para elaborar a pesquisa, a Snyk coletou dados de mais de 500 profissionais e acrescentou informações do seu banco de dados de vulnerabilidades, dados agregados das verificações de centenas de milhares de projetos e dados sobre pacotes de código aberto nos três repositórios mais populares: GitHub, GitLab e BitBucket.
Veja isso
DevOps: Violações se dão através de componentes de código aberto
Desafios da segurança em nuvem: webinar
As principais conclusões trazidas pelo estudo são as seguintes:
- a mentalidade e a cultura de segurança ganharam espaço nas organizações
- caiu o número de novas vulnerabilidades nos ecossistemas mais populares
- os tipos de vulnerabilidade mais relatados não implicam maior impacto em projetos de software
- usar imagens oficiais para contêineres não substitui a higiene usual da segurança
- os cronogramas de correção de vulnerabilidades não correspondem às expectativas da comunidade
O estabelecimento de programas que reforçam a responsabilidade compartilhada nas organizações, um fator crítico na mudança para uma verdadeira cultura DevSecOps, não vem ganhando espaço: na pesquisa, 47% dos entrevistados disseram que não existem programas específicos para impulsionar essa responsabilidade compartilhada. Os programas campeões de segurança, amplamente recomendados e definidos como uma prática fundamental no Modelo de Maturidade de Software OWASP Software Assurance (SAMM), são implementados por apenas por 15% dos entrevistados da pesquisa. A colaboração multifuncional em reuniões stand-up também era incomum, acontecendo também em apenas 15% das organizações.
A pesquisa analisou também a segurança das dez imagens (oficiais) mais populares de contêineres. O relatório diz que “foram descobertos resultados muito semelhantes aos que vimos na pesquisa do ano passado. As imagens oficiais contêm um número significativo de vulnerabilidades conhecidas. Um exemplo particularmente preocupante é a imagem do Node, que possui 642 vulnerabilidades, contra 580 no ano passado – um crescimento de quase 11% ano a ano em vulnerabilidades em apenas uma imagem. Embora esse seja um exemplo extremo, outras imagens oficiais também continham vulnerabilidades significativas”.
Segundo o relatório, as imagens do Postgres, MySQL e nginx contêm mais de 60 vulnerabilidades conhecidas: “A parte preocupante é que, com base no conteúdo da Web, parece haver um equívoco entre alguns desenvolvedores de que, se for uma imagem de contêiner oficial, é inerentemente segura. Simplesmente não é esse o caso”.
Com agências internacionais