Estudo mostra riscos em códigos abertos desatualizados

Um estudo realizado pelo Synopsys Cybersecurity Research Center (CyRC) revelou que mais da metade (51%) das empresas leva de duas a três semanas para aplicar um patch de segurança de código aberto. Isso está relacionado ao fato de que apenas 38% estão usando uma ferramenta automatizada de análise de composição de software (SCA) para identificar quais componentes de código aberto estão em uso e quando as atualizações são lançadas. As organizações restantes empregam processos manuais para gerenciar código aberto, processos que podem desacelerar as equipes de desenvolvimento e operações, forçando-as a se atualizarem sobre a segurança em um clima em que, em média, dezenas de novas divulgações de segurança são publicadas diariamente.
O estudo do CyRC, chamado DevSecOps Practices and Open Source Management in 2020, ouviu 1,5 mil profissionais de TI que trabalham em segurança cibernética, desenvolvimento de software, engenharia de software e desenvolvimento Web. Ele investiga as estratégias que as organizações em todo o mundo estão usando para lidar com o gerenciamento de vulnerabilidade de código aberto, bem como o problema crescente de componentes desatualizados ou abandonados.

Tim Mackey, principal estrategista de Segurança do Synopsys Cybersecurity Research Center diz que o código aberto desempenha um papel crítico no ecossistema de software atual. A esmagadora maioria das bases de código modernas contém componentes de código aberto, compreendendo 70% ou mais do código geral. Ainda assim, paralelamente ao crescimento do uso do open source, está o crescente risco de segurança representado pelo código aberto não gerenciado. Na verdade, de acordo com o estudo, 75% das bases de código auditadas pela Synopsys contêm componentes de código aberto com vulnerabilidades de segurança conhecidas. Para combater essa situação, os respondentes da pesquisa citam a identificação de vulnerabilidades de segurança conhecidas como o critério número um ao examinar novos componentes de código aberto.
“Está claro que as vulnerabilidades não corrigidas são uma fonte importante de problemas para o desenvolvedor e, em última análise, de risco para os negócios” disse Mackey. “O relatório mostra as organizações estão lutando para rastrear e gerenciar com eficácia seus riscos”, explicou.
De acordo com o relatório, o DevSecOps (segurança aplicada no desenvolvimento da aplicação) está crescendo rapidamente em todo o mundo. Em conjunto, 63% dos entrevistados relataram que estão incorporando alguma medida dessa atividade em seus pipelines de desenvolvimento de software. Não existe uma ferramenta de teste de segurança de aplicativo (AST) adotada universalmente. Porém, como as respostas às perguntas da pesquisa indicam, não faltam ferramentas e técnicas de teste de segurança de aplicativos, mas ferramentas AST ainda são utilizadas apenas por menos da metade dos entrevistados. A mídia desempenha um papel importante no gerenciamento de riscos de código aberto, já que 46% dos entrevistados disseram que a cobertura da mídia levou sua organização a aplicar controles mais rígidos sobre o uso de código aberto.
Um estudo anterior da Synopsts mostrou que 91% das bases de código auditadas em 2019 continham componentes de código aberto que estavam desatualizados há mais de quatro anos ou não tiveram nenhuma atividade de desenvolvimento nos últimos dois anos. Os riscos de segurança aumentam quando o código obsoleto é implantado, incluindo a ameaça de um componente de código aberto sendo sequestrado.
Serviço
www.synopsys.com