Skip to main content

Anúncio do relatório Estado da Segurança do Código Aberto em 2022, da Snyk e da Fundação Linux

Escrito por:
wordpress-sync/feature-state-of-open-source

21 de junho de 2022

0 minutos de leitura

O software em código aberto é um componente essencial dos aplicativos modernos. Eles deram início a uma nova era no desenvolvimento de software, promovendo uma troca livre de ideias na comunidade de desenvolvedores e permitindo a criação de software mais funcionais e rápidos. De acordo com muitas estimativas, de 70 a 90% de qualquer software moderno inclui programação em código aberto.

Assim como os desenvolvedores de código proprietário, os criadores de código aberto usam pacotes de código aberto para acelerar o desenvolvimento. Isso significa que as bibliotecas de código aberto muitas vezes usam outras bibliotecas de código aberto, conhecidas como dependências indiretas ou transitivas, gerando um complexo grupo de dependências. Do ponto de vista da segurança, o software em código aberto adiciona várias camadas de código aos aplicativos, e as vulnerabilidades podem habitar essas camadas (como vimos recentemente com Log4Shell). O gerenciamento desse risco exige um planejamento cuidadoso e implementação de políticas de segurança que abordem a ocorrência de possíveis ataques em bibliotecas de código aberto. Também é necessário que as equipes recebam ferramentas confiáveis e eficazes para corrigir as vulnerabilidades detectadas e possam acompanhar o surgimento de novas vulnerabilidades.

Diante da ampla adoção do código aberto e da complexidade cada vez maior das árvores de dependências, a Snyk formou uma parceria com a Fundação Linux para pesquisar como as organizações detectam, mitigam e reduzem os riscos de segurança introduzidos pelo software de código aberto. Hoje, temos o orgulho de apresentar o resultado dessa pesquisa: o relatório Estado da Segurança do Código Aberto em 2022.

Números essenciais da pesquisa

O relatório anual detalha os riscos significativos de segurança causados pelo uso difundido de software de código aberto. Nossa pesquisa revelou que muitas organizações não estão preparadas para lidar com esses riscos. Especificamente, descobrimos que:

  • 41% das organizações não têm muita confiança na segurança do seu software de código aberto.

  • Em média, um aplicativo em desenvolvimento contém 49 vulnerabilidades e 69 dependências.

  • O tempo necessário para corrigir vulnerabilidades em código aberto vem aumentando consistentemente, passando de 49 dias em 2018 para 110 dias em 2021.

  • 51% das organizações não têm uma política de segurança para desenvolvimento ou uso de software de código aberto.

  • 30% das organizações sem uma política de segurança de código aberto reconhecem prontamente que ninguém em suas equipes é responsável por lidar com a segurança do código aberto.

Possivelmente a descoberta mais importante é que muitas organizações ainda não entenderam completamente a dimensão das possíveis vulnerabilidades em pacotes de código aberto e não têm políticas em vigor para proteger efetivamente seus aplicativos. O uso de pacotes de código aberto requer uma nova maneira de pensar na segurança dos desenvolvedores, algo que diversas organizações ainda não adotaram.

Este relatório inédito encontrou indícios que indicam uma ampla ingenuidade no setor sobre o estado atual da segurança do código aberto. Em parceria com a Fundação Linux, pretendemos usar essas descobertas para educar ainda mais os desenvolvedores de todo o mundo, capacitando-os a desenvolver com agilidade e segurança.

Snyk

Matt Jarvis

Director of Developer Relations, Snyk

Sem dúvida, o uso de software de código aberto continuará em crescimento. Conhecendo os riscos que existem em pacotes de código aberto e entendendo como é possível se proteger contra esses riscos, as organizações podem usar a tecnologia de código aberto com eficiência e segurança. Encontrar as ferramentas e políticas mais eficazes para garantir a segurança do código aberto é um bom ponto de partida.

Sobre este projeto

O relatório Estado da Segurança do Código Aberto em 2022 é uma parceria entre a Snyk e a Fundação Linux, com apoio da OpenSSF, Cloud Native Security Foundation, Continuous Delivery Foundation e Eclipse Foundation. O relatório é baseado em uma pesquisa com mais de 550 participantes, realizada no primeiro trimestre de 2022, e em dados obtidos do Snyk Open Source, que verificou mais de 1,3 bilhão de projetos de código aberto.

wordpress-sync/feature-state-of-open-source-security-scaled

wordpress-sync/feature-state-of-open-source

Quer experimentar?

Snyk interviewed 20+ security leaders who have successfully and unsuccessfully built security champions programs. Check out this playbook to learn how to run an effective developer-focused security champions program.