A 13ª edição do State of Software Security Report publica as tendências no cenário de software e como as práticas de segurança estão evoluindo. Alguns dos resultados são preocupantes: 82% dos aplicativos desenvolvidos no setor público tiveram pelo menos uma vulnerabilidade de segurança descoberta, em comparação com 74% nas empresas privadas.
O estudo State of Software Security descobriu que os aplicativos do setor público tendem a ter mais vulnerabilidades de segurança do que os aplicativos do setor privado. O maior número de erros e vulnerabilidades em aplicativos se correlaciona com um maior risco de segurança. O estudo foi conduzido no contexto de uma série de iniciativas governamentais globais para melhorar a segurança cibernética, como a Lei de Resiliência Cibernética da UE, que visa introduzir requisitos mínimos adicionais de segurança para produtos com elementos digitais. A análise de dados de mais de 27 milhões de varreduras em 750.000 aplicativos formou a base do último relatório anual da Veracode
Muitos aplicativos com falhas de segurança
🔎 O setor público teve menos vulnerabilidades ao longo dos anos do que outras organizações (Imagem: Veracode).
Os pesquisadores descobriram que cerca de 82% dos aplicativos desenvolvidos por organizações do setor público tinham pelo menos uma vulnerabilidade de segurança. Isso se compara a 74 por cento para empresas privadas. Os dados para o estudo foram coletados nos últimos 12 meses. Dependendo do tipo de vulnerabilidade identificada, havia uma probabilidade de 12 a 7% maior de que uma vulnerabilidade tivesse sido incorporada a aplicativos do setor público nos últimos 12 meses.
Os números por si só não refletem as consequências que ocorrem quando os hackers exploram bugs e vulnerabilidades. Em agosto do ano passado, por exemplo, um ataque à cadeia de suprimentos na Câmara Alemã de Comércio e Indústria significou que eles tiveram que desligar completamente seus sistemas de TI e serviços digitais, telefones e servidores de e-mail. Os serviços essenciais foram disponibilizados novamente logo após o ataque, mas demorou mais de um mês até que a funcionalidade completa fosse restaurada.
Vulnerabilidades graves no setor público
Quando se trata de vulnerabilidades de “alta gravidade”, os setores públicos têm vantagem. Durante o período de 12 meses do estudo, a porcentagem de aplicativos com vulnerabilidades críticas de segurança foi menor no setor público (16,5%) do que em empresas privadas (19%). Vulnerabilidades de gravidade mais alta têm um potencial maior de afetar todo o sistema se forem exploradas.
O teste moderno de aplicativos incentiva o uso de ferramentas de verificação de segurança, como Static Application Security Testing (SAST) e Software Composition Analysis (SCA). Diferentes tipos de verificações podem revelar diferentes tipos de vulnerabilidades. SAST e SCA encontraram uma porcentagem menor de defeitos em aplicativos do setor público do que em aplicativos de empresas privadas.
Cuidado é melhor que tolerância
Há uma grande diferença entre os setores público e privado quando se trata da taxa na qual as varreduras encontram novas vulnerabilidades em softwares antigos. Para aplicativos que estão em uso há 5 anos, as deficiências de segurança estão aumentando no setor privado, enquanto diminuem nas organizações públicas. Essa tendência mostra que as organizações do setor público prestam atenção à segurança de seus aplicativos ao longo de vários anos e não apenas no início do ciclo de vida.
O 'Relatório do setor público de segurança de software de 2023' recomenda quatro ações que as agências governamentais podem adotar para melhorar sua postura de segurança cibernética:
- Acompanhe: Backlogs de bugs conhecidos precisam ser corrigidos o mais rápido possível.
- Verificação frequente: a verificação irregular dificulta a correção de erros e leva a mais pendências.
- Automatizar: ao automatizar os testes via APIs, erros e defeitos nas aplicações são melhor evitados.
- Adicionando DAST à pilha de segurança: Use a verificação dinâmica para descobrir vulnerabilidades que outros tipos de verificação não detectam.
“O setor público percorreu um longo caminho para melhorar a segurança de seus aplicativos. No entanto, ainda há muito trabalho a ser feito para permitir que as autoridades melhorem sua segurança cibernética e evitem novas ameaças. Ao concentrar seus esforços de segurança na causa raiz da maioria das violações cibernéticas – a camada de aplicativos – eles podem fazer melhorias significativas. Varreduras regulares usando vários métodos de teste e correção de vulnerabilidade subsequente abrirão o caminho para um futuro mais seguro para o setor público”, disse Julian Totzek-Hallhuber, gerente de arquitetos de soluções EMEA e APAC da Veracode.
Mais em Veracode.com
Sobre Veracode
Veracode significa segurança de software inteligente. A Veracode Software Security Platform encontra falhas e vulnerabilidades em todas as fases do ciclo de desenvolvimento de software moderno. Graças à poderosa IA treinada em trilhões de linhas de código, os clientes da Veracode corrigem erros mais rapidamente e com alta precisão.