Necessidade de segurança focada no desenvolvedor sobe como vulnerabilidades de segurança quase duplas em dois anos, revela relatório da Snyk

LONDRES – Snyk , a principal solução para encontrar e corrigir vulnerabilidades automaticamente em bibliotecas de código aberto, divulgou hoje o Relatório Anual de Segurança de Código Aberto para 2019. O estudo encontra um rápido crescimento nas vulnerabilidades divulgadas e relata um aumento de 88% nas vulnerabilidades das bibliotecas de aplicativos, quase o dobro em comparação a dois anos atrás. Dos projetos de código aberto que contêm vulnerabilidades, o relatório descobriu que 78% existem em dependências indiretas e não aquelas que são intencionalmente puxadas pelos desenvolvedores. As dependências indiretas tornam a localização e a correção de vulnerabilidades significativamente mais complexas e demoradas.

Dado o aumento no número de vulnerabilidades de código aberto e a complexidade de corrigi-las, há uma necessidade urgente de os desenvolvedores apropriarem-se da segurança de seus aplicativos. De acordo com o relatório, mais de 80% dos desenvolvedores indicaram acreditar que deveriam ser responsáveis pela segurança de seu código aberto. No entanto, apenas 30% classificam seu conhecimento de segurança como “Alto”, confirmando uma lacuna de conhecimento em sua capacidade de efetivamente possuir segurança durante o processo de desenvolvimento.

“O relatório destaca que o maior desafio que a segurança de código aberto enfrenta é o crescente volume de vulnerabilidades e a complexidade de corrigir vulnerabilidades indiretas encontradas em dependências de código aberto”, disse Guy Podjarny, fundador e CEO da Snyk. “À medida que o desenvolvimento de aplicativos se torna mais rápido e mais crítico aos negócios, é importante que os desenvolvedores que consomem ou criem código aberto incorporem ferramentas e práticas de segurança em seus fluxos de trabalho de desenvolvimento existentes.”

De acordo com o Gartner , até o ano 2020, mais de 50% das empresas usarão a tecnologia de contêineres, menos de 20% em 2017. O relatório da Snyk demonstra que, juntamente com esse crescimento, muitas organizações ainda estão lutando para enfrentar a segurança dos contêineres, revelando vulnerabilidades no RHEL, Debian e Ubuntu aumentaram quatro vezes em 2018, em comparação com 2017. A pesquisa de Snyk também descobriu que das dez imagens Docker padrão mais populares, cada uma delas continha pelo menos 30 versões vulneráveis de bibliotecas de sistemas. A imagem oficial do Node.js tem mais, enviando uma imagem com 580 bibliotecas do sistema vulneráveis instaladas.

Além disso, o relatório constata que 44% das verificações de imagens do Docker tinham vulnerabilidades conhecidas para as quais há atualizações de imagens de base mais recentes e mais seguras disponíveis.

O Relatório Anual de Segurança do Estado Aberto publicado por Snyk é composto por dados reunidos em uma pesquisa recente com centenas de desenvolvedores e mantenedores de código aberto; dados de registros de aplicativos públicos, conjuntos de dados de bibliotecas e repositórios do GitHub; e o abrangente banco de dados de vulnerabilidades do Snyk, que está continuamente puxando dados de centenas de milhares de projetos monitorados e protegidos pelo Snyk.

Outros destaques notáveis do relatório incluem:

Responsabilidade de Segurança de Aplicativos

• A adoção de ferramentas de segurança está claramente ausente, com apenas 35% dos entrevistados confirmando que usam uma ferramenta de gerenciamento de dependências ou de varredura para ajudar a detectar vulnerabilidades.
• Quase metade dos mantenedores de código aberto (48 por cento) aprender sobre vulnerabilidades em seu código apenas quando alguém abre uma questão pública.

Segurança de código aberto

• Em 2018, as divulgações do Packagist, o repositório público de pacotes do PHP, cresceram 56%; e a Maven Central cresceu 27%. Embora Golang seja um ecossistema menor, sua pesquisa de segurança registrou 52% de crescimento em novas vulnerabilidades descobertas em 2018.

Corrigindo Vulnerabilidades

• 84% dos mantenedores de código aberto afirmam que provavelmente responderão a um problema de segurança em menos de uma semana. Apenas 22 por cento dos entrevistados disseram que podem resolver um incidente relatado em poucas horas.
• Os desenvolvedores, por outro lado, que são os consumidores de projetos de código aberto, ainda precisam adotar essas correções e novos lançamentos para proteger seus aplicativos. Contudo:
• quase um terço dos entrevistados (27%) afirmam que muitas vezes nem sempre descobrem vulnerabilidades em suas dependências, aumentando o risco e diminuindo a correção.
• 37% dos desenvolvedores de software livre não implementam nenhum tipo de teste de segurança durante o CI.
• Das bibliotecas analisadas no relatório, o tempo mais rápido para correção de quando a vulnerabilidade existia no código-fonte era de pouco mais de 9 meses. O tempo médio para correção foi de quase 2,5 anos, mostrando que leva muito tempo para detectar e corrigir vulnerabilidades em ambientes de código aberto.

Sobre o Snyk
Snyk é uma solução de segurança para desenvolvedores que ajudaAs organizações usam código aberto e permanecem seguras. O Snyk é a única solução que procura e corrige de forma contínua e proativa as vulnerabilidades e as violações de licenças em dependências de software livre e imagens do Docker. A solução da Snyk integra seu abrangente banco de dados de vulnerabilidades proprietárias mantido por sua equipe especializada em pesquisa de segurança em Israel e Londres . Com forte integração em fluxos de trabalho de desenvolvedores existentes, controle de origem (incluindo GitHub, BitBucket, GitLab) e pipelines de CI / CD, o Snyk permite fluxos de trabalho de segurança eficientes e reduz o tempo médio de correção.

Click here for more information