Cresce compartilhamento de responsabilidade nas empresas
29 jun
2020

Cresce compartilhamento de responsabilidade nas empresas

Conclusão está no relatório “The State of Open Source Security 2020”, publicado na semana passada pela Snyk

A responsabilidade pela segurança está cada vez mais compartilhada nas organizações. Essa conclusão está publicada no relatório “The State of Open Source Security 2020”, publicado na semana passada pela Snyk. A empresa é especializada em segurança de código e baseada em Londres. O documento reflete não só as preocupações de segurança de código aberto da comunidade, como tendências de vulnerabilidades entre pacotes e imagens de contêiner e também examina as práticas empregadas por mantenedores e organizações na proteção de seu software.

A indicação de quem é o responsável pela segurança nas organizações mudou em relação à pesquisa anterior: no ano passado, mais de 80% responderam que os desenvolvedores eram os responsáveis, e menos de 30% indicaram que as equipes de segurança e de operações também tinham um papel nessa responsabilidade. Neste ano, as respostas mostraram mais foco na responsabilidade compartilhada, com 85% apontando os desenvolvedores, 55% segurança e 35% operações (veja gráfico abaixo).

open source security survey on who should be responsible for security in organization

Para elaborar a pesquisa, a Snyk coletou dados de mais de 500 profissionais e acrescentou informações do seu banco de dados de vulnerabilidades, dados agregados das verificações de centenas de milhares de projetos e dados sobre pacotes de código aberto nos três repositórios mais populares: GitHub, GitLab e BitBucket.

Veja Também:

As principais conclusões trazidas pelo estudo são as seguintes:

  • a mentalidade e a cultura de segurança ganharam espaço nas organizações
  • caiu o número de novas vulnerabilidades nos ecossistemas mais populares
  • os tipos de vulnerabilidade mais relatados não implicam maior impacto em projetos de software
  • usar imagens oficiais para contêineres não substitui a higiene usual da segurança
  • os cronogramas de correção de vulnerabilidades não correspondem às expectativas da comunidade

O estabelecimento de programas que reforçam a responsabilidade compartilhada nas organizações, um fator crítico na mudança para uma verdadeira cultura DevSecOps, não vem ganhando espaço: na pesquisa, 47% dos entrevistados disseram que não existem programas específicos para impulsionar essa responsabilidade compartilhada. Os programas campeões de segurança, amplamente recomendados e definidos como uma prática fundamental no Modelo de Maturidade de Software OWASP Software Assurance (SAMM), são implementados por apenas por 15% dos entrevistados da pesquisa. A colaboração multifuncional em reuniões stand-up também era incomum, acontecendo também em apenas 15% das organizações.

A pesquisa analisou também a segurança das dez imagens (oficiais) mais populares de contêineres. O relatório diz que “foram descobertos resultados muito semelhantes aos que vimos na pesquisa do ano passado. As imagens oficiais contêm um número significativo de vulnerabilidades conhecidas. Um exemplo particularmente preocupante é a imagem do Node, que possui 642 vulnerabilidades, contra 580 no ano passado – um crescimento de quase 11% ano a ano em vulnerabilidades em apenas uma imagem. Embora esse seja um exemplo extremo, outras imagens oficiais também continham vulnerabilidades significativas”.

survey results about best way to enable container security

Segundo o relatório, as imagens do Postgres, MySQL e nginx contêm mais de 60 vulnerabilidades conhecidas: “A parte preocupante é que, com base no conteúdo da Web, parece haver um equívoco entre alguns desenvolvedores de que, se for uma imagem de contêiner oficial, é inerentemente segura. Simplesmente não é esse o caso”.

Fonte: CISO Advisor

%d blogueiros gostam disto: