De acordo com o estudo, 77% dos apps apresentam pelo menos uma falha e 12%, possuem ao menos uma falha grave
O estudo também mostra que houve uma redução no índice de falhas em nove, das dez principais vulnerabilidades dos aplicativos. No entanto, os números ainda devem preocupar companhias que utilizam algum serviço baseado em apps.
Apesar dos investimentos em segurança de dados se mostrarem cruciais para as empresas, como evidenciado pelos recentes ciberataques que sequestraram informações confidenciais de usuários ao redor mundo, as aplicações não são mais seguras hoje do que eram há uma década. É o que revela estudo da Veracode, empresa de segurança de software recém-adquirida pela CA Technologies. O levantamento, para o qual foram avaliadas 1,4 mil empresas, revela que ao menos uma falha foi encontrada nos testes iniciais de 77% dos apps analisados e 25% dos sites contém pelo menos uma vulnerabilidade grave.
O estudo ainda mostra que houve uma redução no índice de falhas em nove, das dez principais, vulnerabilidades dos aplicativos. No entanto, os números ainda devem preocupar companhias que utilizam algum serviço baseado em apps. A pesquisa identificou que 12% de todas as aplicações analisadas tinham ao menos uma falha grave.
“Ao longo de um ano, foram quase 250 bilhões de linhas de código analisadas. Vimos que os clientes têm priorizado a correção das falhas mais graves, mas mais de 50% das correções levaram mais de 90 dias para acontecer. Isso preocupa, porque a maioria dos ataques acontecem poucos dias depois da descoberta de uma falha”, comenta Denyson Machado, vice-presidente de segurança para América Latina na CA Technologies.
Entre as dez principais falhas registradas, a primeira está relacionada a um dos maiores medos das corporações: proteção de dados. De acordo com a pesquisa, falhas que geram vazamento de informação caíram 7% e hoje acontecem em 65,8% dos apps (em 2016, 72,1% dos apps apresentavam esse tipo de falha). Problemas de criptografia, a segunda falha mais recorrente, também tiveram redução – de 65,9% para 61,5% -, mas ainda ocupam a segunda posição das falhas mais frequentes. Fechando o top 3 está a qualidade do código – caindo de 61,7% para 56,2% dos apps testados.
Segundo os especialistas da CA Technologies, a queda no percentual das principais falhas não é resultado de uma melhora nos apps e nem deve ser tido como resultado de uma maior adoção de testes de código no processo de desenvolvimento. “Os dados mostram que houve, na verdade, uma pulverização das falhas, com o aumento de outros tipos de problemas na produção dos apps”, comenta Machado.
Testes contínuos
Cerca de 70% das aplicações analisadas pela primeira vez não tiveram sucesso em passar por testes de OWASP (Projeto Aberto de Segurança em Aplicações Web), comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web.
“A pressa de entregar o produto ao mercado gera problemas durante o desenvolvimento do código e os aplicativos são entregues com falhas de segurança. Os testes contínuos existem e estão disponíveis para que o desenvolvedor não cometa o erro de entregar um produto mal-acabado”, afirma João Fábio Valentin, vice-presidente de vendas de soluções para DevOps da CA Technologies para América Latina.
Com resolução de problemas entre as fases de pré-produção e produção, a tendência de DevSecOps é confirmada. Dos servidores web analisados, 25% continham ao menos uma vulnerabilidade crítica. Nesse caso, mesmo que o desenvolvedor não escreva nenhum código vulnerável, a insegurança do servidor em si compromete a segurança da aplicação. Além disso, mais de 18% das versões dos servidores analisados tinham mais de dez anos de lançamento.
Apesar de 71% das organizações brasileiras apontarem o uso de teste contínuo como essencial ou importante, somente 22% adotam esta prática de última geração, que permite executar testes com antecedência e com frequência, de forma automática e constante, no desenvolvimento de software e aplicações.
Fonte: ComputerWorld
Texto Original:
http://computerworld.com.br/vazamento-de-dados-e-principal-falha-de-658-dos-aplicativos-web-diz-pesquisa