book_icon

Estudo mostra riscos em códigos abertos desatualizados

Grande maioria não usa ferramentas para gerenciamento de vulnerabilidade e a aplicação de patch é demorada
Estudo mostra riscos em códigos abertos desatualizados

Um estudo realizado pelo Synopsys Cybersecurity Research Center (CyRC) revelou que mais da metade (51%) das empresas leva de duas a três semanas para aplicar um patch de segurança de código aberto. Isso está relacionado ao fato de que apenas 38% estão usando uma ferramenta automatizada de análise de composição de software (SCA) para identificar quais componentes de código aberto estão em uso e quando as atualizações são lançadas. As organizações restantes empregam processos manuais para gerenciar código aberto, processos que podem desacelerar as equipes de desenvolvimento e operações, forçando-as a se atualizarem sobre a segurança em um clima em que, em média, dezenas de novas divulgações de segurança são publicadas diariamente.
O estudo do CyRC, chamado DevSecOps Practices and Open Source Management in 2020, ouviu 1,5 mil profissionais de TI que trabalham em segurança cibernética, desenvolvimento de software, engenharia de software e desenvolvimento Web. Ele investiga as estratégias que as organizações em todo o mundo estão usando para lidar com o gerenciamento de vulnerabilidade de código aberto, bem como o problema crescente de componentes desatualizados ou abandonados.

O relatório mostra as organizações estão lutando para rastrear e gerenciar com eficácia seus riscos

Tim Mackey, principal estrategista de Segurança do Synopsys Cybersecurity Research Center diz que o código aberto desempenha um papel crítico no ecossistema de software atual. A esmagadora maioria das bases de código modernas contém componentes de código aberto, compreendendo 70% ou mais do código geral. Ainda assim, paralelamente ao crescimento do uso do open source, está o crescente risco de segurança representado pelo código aberto não gerenciado. Na verdade, de acordo com o estudo, 75% das bases de código auditadas pela Synopsys contêm componentes de código aberto com vulnerabilidades de segurança conhecidas. Para combater essa situação, os respondentes da pesquisa citam a identificação de vulnerabilidades de segurança conhecidas como o critério número um ao examinar novos componentes de código aberto.
“Está claro que as vulnerabilidades não corrigidas são uma fonte importante de problemas para o desenvolvedor e, em última análise, de risco para os negócios” disse Mackey. “O relatório mostra as organizações estão lutando para rastrear e gerenciar com eficácia seus riscos”, explicou.
De acordo com o relatório, o DevSecOps (segurança aplicada no desenvolvimento da aplicação) está crescendo rapidamente em todo o mundo. Em conjunto, 63% dos entrevistados relataram que estão incorporando alguma medida dessa atividade em seus pipelines de desenvolvimento de software. Não existe uma ferramenta de teste de segurança de aplicativo (AST) adotada universalmente. Porém, como as respostas às perguntas da pesquisa indicam, não faltam ferramentas e técnicas de teste de segurança de aplicativos, mas ferramentas AST ainda são utilizadas apenas por menos da metade dos entrevistados. A mídia desempenha um papel importante no gerenciamento de riscos de código aberto, já que 46% dos entrevistados disseram que a cobertura da mídia levou sua organização a aplicar controles mais rígidos sobre o uso de código aberto.
Um estudo anterior da Synopsts mostrou que 91% das bases de código auditadas em 2019 continham componentes de código aberto que estavam desatualizados há mais de quatro anos ou não tiveram nenhuma atividade de desenvolvimento nos últimos dois anos. Os riscos de segurança aumentam quando o código obsoleto é implantado, incluindo a ameaça de um componente de código aberto sendo sequestrado.
Serviço
www.synopsys.com
 

código aberto

CyRC

DevSecOps

Open Source

Synopsys

Tim Mackey

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

ENCARTE - ESPECIAL DISTRIBUIÇÃO

Prêmio Excelência em Distribuição, e listagem de distribuidores de TIC

Leia nessa edição sobre carreira

ANÁLISES

Evoluções digitais

Leia nessa edição sobre setorial | saúde

TECNOLOGIA

Arquitetura descentralizada

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

QUALIFICAÇÃO

Na jornada do conhecimento

Junho| 2021 | #47 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento