CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

ransomware

Cresce compartilhamento de responsabilidade nas empresas

Da Redação
29/06/2020

A responsabilidade pela segurança está cada vez mais compartilhada nas organizações. Essa conclusão está publicada no relatório “The State of Open Source Security 2020”, publicado na semana passada pela Snyk. A empresa é especializada em segurança de código e baseada em Londres. O documento reflete não só as preocupações de segurança de código aberto da comunidade, como tendências de vulnerabilidades entre pacotes e imagens de contêiner e também examina as práticas empregadas por mantenedores e organizações na proteção de seu software. 

A indicação de quem é o responsável pela segurança nas organizações mudou em relação à pesquisa anterior: no ano passado, mais de 80% responderam que os desenvolvedores eram os responsáveis, e menos de 30% indicaram que as equipes de segurança e de operações também tinham um papel nessa responsabilidade. Neste ano, as respostas mostraram mais foco na responsabilidade compartilhada, com 85% apontando os desenvolvedores, 55% segurança e 35% operações (veja gráfico abaixo).

open source security survey on who should be responsible for security in organization

Para elaborar a pesquisa, a Snyk coletou dados de mais de 500 profissionais e acrescentou informações do seu banco de dados de vulnerabilidades, dados agregados das verificações de centenas de milhares de projetos e dados sobre pacotes de código aberto nos três repositórios mais populares: GitHub, GitLab e BitBucket. 

Veja isso
DevOps: Violações se dão através de componentes de código aberto
Desafios da segurança em nuvem: webinar

As principais conclusões trazidas pelo estudo são as seguintes:

  • a mentalidade e a cultura de segurança ganharam espaço nas organizações
  • caiu o número de novas vulnerabilidades nos ecossistemas mais populares
  • os tipos de vulnerabilidade mais relatados não implicam maior impacto em projetos de software
  • usar imagens oficiais para contêineres não substitui a higiene usual da segurança
  • os cronogramas de correção de vulnerabilidades não correspondem às expectativas da comunidade

O estabelecimento de programas que reforçam a responsabilidade compartilhada nas organizações, um fator crítico na mudança para uma verdadeira cultura DevSecOps, não vem ganhando espaço: na pesquisa, 47% dos entrevistados disseram que não existem programas específicos para impulsionar essa responsabilidade compartilhada. Os programas campeões de segurança, amplamente recomendados e definidos como uma prática fundamental no Modelo de Maturidade de Software OWASP Software Assurance (SAMM), são implementados por apenas por 15% dos entrevistados da pesquisa. A colaboração multifuncional em reuniões stand-up também era incomum, acontecendo também em apenas 15% das organizações.

A pesquisa analisou também a segurança das dez imagens (oficiais) mais populares de contêineres. O relatório diz que “foram descobertos resultados muito semelhantes aos que vimos na pesquisa do ano passado. As imagens oficiais contêm um número significativo de vulnerabilidades conhecidas. Um exemplo particularmente preocupante é a imagem do Node, que possui 642 vulnerabilidades, contra 580 no ano passado – um crescimento de quase 11% ano a ano em vulnerabilidades em apenas uma imagem. Embora esse seja um exemplo extremo, outras imagens oficiais também continham vulnerabilidades significativas”.

survey results about best way to enable container security

Segundo o relatório, as imagens do Postgres, MySQL e nginx contêm mais de 60 vulnerabilidades conhecidas: “A parte preocupante é que, com base no conteúdo da Web, parece haver um equívoco entre alguns desenvolvedores de que, se for uma imagem de contêiner oficial, é inerentemente segura. Simplesmente não é esse o caso”.

Com agências internacionais

Compartilhar: