Avanços de segurança de software mostram progresso apesar dos desafios, revela relatório Veracode

A segurança de software avançou significativamente ao longo dos anos, conforme destacado no recente relatório State of Software Security da Veracode. Embora os desafios permaneçam, os aplicativos, em média, nunca foram tão seguros, fornecendo algum otimismo muito necessário em meio a ameaças cibernéticas globais.

Apesar do progresso, o relatório enfatiza as consequências de abalar o mundo que podem resultar de um único efeito cascata de vulnerabilidade. Um excelente exemplo é o ataque global da SolarWinds, que deixou empresas como Microsoft, Cisco, FireEye e Intel expostas devido à exploração de código malicioso em seu software Orion. Agências governamentais e instituições renomadas não foram exceção a essa violação.

Para neutralizar essas vulnerabilidades, o governo Biden divulgou uma ordem executiva em 12 de maio de 2021, introduzindo novas medidas destinadas a reforçar a segurança cibernética nacional. Em seu 12º relatório anual, a Veracode visa auxiliar os líderes na abordagem da segurança de software, redução de riscos e conformidade com essas novas regulamentações.

O relatório revela uma tendência do setor em relação à mudança para aplicativos ou microsserviços em um único idioma. Em 2018, cerca de 20% dos aplicativos utilizavam vários idiomas, caindo para menos de 5% em 2021. Práticas robustas de testes contínuos levaram 90% dos aplicativos a serem verificados várias vezes por semana, significativamente mais frequentes do que as poucas verificações por ano em 2010.

As bibliotecas de terceiros tornaram-se menos vulneráveis ao longo dos anos. Em 2017, 35% das bibliotecas continham uma falha conhecida, que foi reduzida para 10% até 2021. Grandes avanços foram feitos na quantidade de tempo necessária para corrigir essas vulnerabilidades de terceiros, indicando espaço para melhorias.

Por exemplo, em 2017, atingir a metade do caminho na resolução de falhas necessária ao longo de três anos; em 2021, demorou pouco mais de um ano. No entanto, mesmo com esses ganhos, alarmantes 77% das falhas permaneceram sem solução após três meses.

Aplicando a Análise de Composição de Software (SCA), os pesquisadores descobriram que 97% dos aplicativos Java dependem de bibliotecas de código aberto, mantendo a ameaça de vulnerabilidades de software em larga escala por períodos prolongados.

Em relação ao uso de código de terceiros em vários idiomas, o Java parece ser o mais dependente de código de terceiros. Por outro lado, o uso de código de terceiros pelo .NET aumentou de uma porcentagem de um dígito para mais de 50% em 2020, coincidindo com o lançamento do .NET 5.

JavaScript e Python exibem padrões inconsistentes, com software predominantemente composto por código interno ou de terceiros, enquanto PHP e C++ permanecem focados em código doméstico. O relatório sugere que os desenvolvedores tendem a confiar em bibliotecas testadas e comprovadas, em vez de refatorar suas bases de código para alternativas mais novas e modernas.

Além disso, o estudo da Veracode investiga se idiomas específicos são mais propensos a bibliotecas defeituosas e avalia o progresso na redução de vulnerabilidades ao longo do tempo. As bibliotecas Java tiveram o maior número médio de falhas em 12,5 por cento, seguidas de perto por Ruby em aproximadamente 10 por cento e Python em cerca de 5 por cento. A prevalência mais baixa de bibliotecas vulneráveis foi encontrada em PHP, JavaScript e .NET, cada uma com uma média de aproximadamente 3 por cento.

Um progresso significativo foi observado nas bibliotecas Java, JavaScript e Python. Desde 2017, as bibliotecas Java diminuíram as taxas de vulnerabilidade em cerca de 25%, Python em 20% e JavaScript em 10%.

A varredura dinâmica combinada com a análise estática melhorou as taxas de correção em 50% e acelerou o processo em 24 dias em média. A incorporação do SCA na mistura encurtou ainda mais o prazo em mais seis dias.

O desenvolvimento de software americano experimenta um recorde histórico de segurança, apesar do recente aumento de ataques de alto perfil atraindo a atenção nacional. O relatório da Veracode reconhece que ainda há trabalho a ser feito, mas a segurança de software está no caminho certo. A utilização de plataformas no-code como AppMaster fornece uma camada adicional de segurança, graças à sua natureza inerente de baixo risco, atualizações automáticas e monitoramento de conformidade. Com os esforços contínuos para lidar com os riscos de segurança de software, o futuro parece promissor.