Vazamento de dados é principal falha de 65,8% dos aplicativos web, diz pesquisa

0

Apesar dos investimentos em segurança de dados se mostrarem cruciais para as empresas, como evidenciado pelos recentes cibertaques que sequestraram informações confidenciais de usuários ao redor mundo, as aplicações não são mais seguras hoje do que eram há uma década. É o que revela estudo produzido pela Veracode, empresa de segurança de softwares e recentemente adquirida pela CA Technologies, com 1.400 empresas avaliadas. Pelo menos uma falha foi encontrada nos testes iniciais de 77% dos apps analisados na pesquisa e 25% dos sites contém pelo menos uma vulnerabilidade grave.

O estudo ainda mostra que houve uma redução no índice de falhas em nove, das dez principais, vulnerabilidades dos aplicativos. No entanto, os números ainda devem preocupar companhias que utilizam algum serviço baseado em apps. A pesquisa identificou que 12% de todas as aplicações analisadas tinham ao menos uma falha grave.

"Ao longo de um ano, foram quase 250 bilhões de linhas de código analisadas. Vimos que os clientes têm priorizado a correção das falhas mais graves, mas mais de 50% das correções levaram mais de 90 dias para acontecer. Isso preocupa, porque a maioria dos ataques acontecem poucos dias depois da descoberta de uma falha", comenta Denyson Machado, vice-presidente de segurança para América Latina na CA Technologies.

Entre as dez principais falhas registradas, a primeira está relacionada a um dos maiores medos das corporações: proteção de dados. De acordo com a pesquisa da Veracode, falhas que geram vazamento de informação caíram 7% e hoje acontecem em 65,8% dos apps (em 2016, 72,1% dos apps apresentavam esse tipo de falha). Problemas de criptografia, a segunda falha mais recorrente, também tiveram redução – de 65,9% para 61,5% -, mas ainda ocupam a segunda posição das falhas mais frequentes. Fechando o top 3 está a qualidade do código – caindo de 61,7% para 56,2% dos apps testados.

Segundo os especialistas da CA Technologies, a queda no percentual das principais falhas não é resultado de uma melhora nos apps e nem deve ser tido como resultado de uma maior adoção de testes de código no processo de desenvolvimento. "Os dados mostram que houve, na verdade, uma pulverização das falhas, com o aumento de outros tipos de problemas na produção dos apps", comenta Machado.

Testes

Cerca de 70% das aplicações analisadas pela primeira vez não tiveram sucesso em passar por testes de OWASP (Projeto Aberto de Segurança em Aplicações Web), comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web.

"A pressa de entregar o produto ao mercado gera problemas durante o desenvolvimento do código e os aplicativos são entregues com falhas de segurança. Os testes contínuos existem e estão disponíveis para que o desenvolvedor não cometa o erro de entregar um produto mal-acabado", afirma João Fábio Valentin, VP de Solution Sales para DevOps da CA Technologies para América Latina.

Com resolução de problemas entre as fases de pré-produção e produção, a tendência de DevSecOps é confirmada. Dos servidores web analisados, 25% continham ao menos uma vulnerabilidade crítica. Nesse caso, mesmo que o desenvolvedor não escreva nenhum código vulnerável, a insegurança do servidor em si compromete a segurança da aplicação. Além disso, mais de 18% das versões dos servidores analisados tinham mais de 10 anos de lançamento.

Apesar de 71%* das organizações brasileiras apontarem o uso de teste contínuo como essencial ou importante, somente 22% adotam esta prática de última geração, que permite executar testes com antecedência e com frequência, de forma automática e constante, no desenvolvimento de software e aplicações.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.