devops-3148408_640.jpg

DevOps: Violações se dão através de componentes de código aberto

Da Redação
08/04/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisa revela que 21% dos 24% das empresas consultadas que relataram ao menos uma violação nos últimos 12 meses vincularam-na ao uso de componentes de código aberto de terceiros

devops-3148408_640.jpg

Um quarto das organizações sofreram violações relacionadas ao processo de desenvolvimento de aplicativos no ano passado, sendo a maioria delas por meio de componentes de código aberto, de acordo com dados da Sonatype, empresa de automação de DevOps.

Pesquisa realizada por ela com a comunidade de DevSecOps para 2020, baseada nas respostas de 5.045 profissionais de software de todo o mundo, revela que 21% dos 24% das empresas consultadas que relataram ao menos uma violação nos últimos 12 meses vincularam-na ao uso de componentes de terceiros.

Os componentes de código aberto de terceiros são bastante populares entre os profissionais de DevOps, pois ajudam a acelerar o lançamento de novos produtos, embora também possam conter vulnerabilidades e, às vezes, malware.

Veja isto
Alerta DevOps: 12 mil servidores Jenkins são expostos a ataques DDoS
DevOps e nuvem estão entre os maiores riscos à segurança em 2020

Curiosamente, o número relatado de violações de componentes de código aberto aumentou para 28% nas organizações com práticas maduras de DevOps, que incluem a manutenção de uma lista de todos os componentes para “software bill of materials” (SBOM).

Isso pode ter ocorrido devido a diferenças culturais associadas à descoberta e comunicação de tais problemas, afirma o Sonatype. “A prática e os líderes de desenvolvimento continuam sugerindo que as culturas maduras de DevOps suportam cenários em que as informações são procuradas ativamente, novas informações são bem-vindas e a ponte entre grupos funcionais é um comportamento recompensado”, acrescenta o relatório.

“As falhas não são silenciosas nas práticas maduras de DevOps, mas são recompensadas. Para práticas maduras de DevOps, a conscientização é uma das melhores formas de promover mudanças.”

O relatório também revela que os desenvolvedores bem-sucedidos são mais propensos a serem cuidadosos com a cibersegurança geral: eles têm 3,6 vezes menos chances de negligenciar a segurança no que diz respeito à qualidade do código, 2,3 vezes mais chances de ter ferramentas de segurança automatizadas e 1,3 vezes maior probabilidade de seguir políticas de segurança de código aberto.

Uma pesquisa da Sonatype no ano passado mostrou que houve um aumento de 71% nas violações relacionadas ao desenvolvimento com código aberto nos últimos cinco anos. As empresas do Reino Unido, em média, baixaram 21 mil componentes de software conhecidos por conter vulnerabilidades.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest