De acordo com o terceiro volume do relatório de Estado de Segurança de Software (SOSS, em inglês) 72% dos softwares de segurança e aplicações de serviços avaliados pela Veracode foram classificados como “inaceitáveis” em uma primeira análise de código, um resultado que só perdeu para o setor de suporte ao consumidor, que falhou em 82% das vezes.
Em comparação, o setor financeiro falhou em somente 52% das vezes, com uma pontuação à frente de todos os setores de desenvolvimento, incluindo interno, bespoke (produtos feitos sob encomenda, customizados) e comercial, com medíocres 58%.
A Veracode publicou o primeiro SOSS em 2009, e, desde então, tem atualizado suas análises a cada seis meses, baseado nos números acumulados de aplicações que são submetidas por seus clientes. Esse total agora chega a 4.385 programas, dos quais 13% são relacionados a segurança.
Um dos comentários positivos foi que o setor de segurança foi o melhor ao corrigir essas falhas, com um tempo médio de solução de apenas três dias.
Histórico preocupante
Essas descobertas poderiam contar como surpreendentes se não fossem as recentes desgraças sofridas pelas companhias do setor, incluindo a RSA Security, HBGary Gederal, Comodo e a Barracuda Networks, de acordo com informações do relatório.
Duas falhas de segurança que podem afligir com mais frequência aplicações web continuam comuns, da mesma maneira que apareceram nos dois últimos relatórios de SOSS, o que sugere uma complacência na comunidade desenvolvedora.
Cerca de 60% das aplicações web são afetadas por falhas simples de cross-site scripting (XSS) e fáceis de serem corrigidas, número que permaneceu estático desde 2009. As falhas de SQL melhoraram ao passar do tempo, mas ainda circulam na marca de 30%.
“Quando consideramos essas estatísticas no contexto de fortalecimento cada vez maior de ameaças, essas fraquezas nos aplicativos de segurança traduzem para real o presente perigo para operações de sua infraestrutura de software livre de riscos” disseram os autores.
A Veracode vende sua habilidade em detectar problemas de segurança no código, na maioria das vezes utilizando uma mistura automatizada de análises estáticas e dinâmicas.
É claro, contudo, que toda essa quantidade de problemas detectados não estariam lá se de fato os desenvolvedores adotassem métodos melhores de revisão de segurança durante o estágio e planejamento e programação de aplicativos.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário