Quase três quartos dos aplicativos de varejo e hotelaria contêm falhas de segurança, mas apenas 25% delas são corrigidas. Pior ainda, 17% dessas falhas são classificadas como “muito graves”, o que significa que representam uma séria ameaça ao negócio se exploradas. Os dados foram publicados no relatório “State of Software Security (SoSS) v12” da Veracode, que analisou 20 milhões de varreduras de código em meio milhão de aplicativos nos setores de varejo, industrial, saúde, tecnologia, público e serviços.
Veja isso
Saiu a lista OWASP Top 10 de 2021. Confira com atenção
Ex-funcionário da HackerOne chantageou sete clientes
Apesar do número relativamente baixo de bugs de segurança corrigidos, o setor de varejo ocupa o segundo lugar em correções de bugs, demonstrando a necessidade de melhorar a segurança nas empresas de todos os setores. Nas palavras de Eng, “em comparação com outras indústrias, os distribuidores estão mais preocupados em corrigir os bugs quando eles são descobertos. Embora isso seja promissor, está claro que mais precisa ser feito globalmente para integrar a detecção e correção de falhas no processo de desenvolvimento de software, para que as vulnerabilidades possam ser tratadas com mais eficiência”.
Configuração do servidor, insegurança de dependência e problemas de autenticação são os tipos mais comuns de falhas de aplicativos na maioria dos setores. Os setores de varejo e hospitalidade seguem um padrão semelhante, mas aqui as porcentagens são mais altas em quase todas as categorias de falha, talvez devido à maior complexidade funcional dos aplicativos internos e voltados para o cliente.
Os tempos de solução de problemas variam no setor de varejo
A Veracode examinou três tipos diferentes de análise para gerar comparações de tempo de correção do setor: verificação de segurança de análise dinâmica (DAST), verificação de segurança de análise estática (SAST) e análise de composição de software (SCA). Constatou-se que os revendedores lidam com as falhas descobertas pelo DAST mais rapidamente, com 70 dias para empatar, o que representa 46 dias à frente dos serviços financeiros de segundo lugar. No entanto, para SAST e SCA, o setor varejista fica no meio do ranking, levando 346 e 470 dias, respectivamente, para atingir o ponto médio de liquidação.
Em todos os setores, as falhas de bibliotecas de terceiros descobertas por meio do SCA persistem por mais tempo do que aquelas encontradas com SAST e DAST, com 30% das bibliotecas vulneráveis ainda não resolvidas dois anos depois. No varejo, a estatística chega a 35% e tem defasagem em relação à média de todos os setores de mais de seis meses. No entanto, os distribuidores devem ter certeza de que qualquer atraso pode ser reduzido, não importa quão grande seja. Na verdade, o relatório State of Software Security de 2021 da Veracode descobriu que 95% dos bugs de código aberto podem ser corrigidos com uma simples atualização, o que é uma boa notícia para os distribuidores que desejam proteger suas cadeias de suprimentos de software.
O relatório está em “https://info.veracode.com/report-state-of-software-security-volume-12.html”.