Snyk Blog

Anúncio do relatório Estado da Segurança do Código Aberto em 2022, da Snyk e da Fundação Linux

Escrito por:
Megan Moore
Megan Moore
wordpress-sync/feature-state-of-open-source

June 21, 2022

0 minutos de leitura

O software em código aberto é um componente essencial dos aplicativos modernos. Eles deram início a uma nova era no desenvolvimento de software, promovendo uma troca livre de ideias na comunidade de desenvolvedores e permitindo a criação de software mais funcionais e rápidos. De acordo com muitas estimativas, de 70 a 90% de qualquer software moderno inclui programação em código aberto.

Assim como os desenvolvedores de código proprietário, os criadores de código aberto usam pacotes de código aberto para acelerar o desenvolvimento. Isso significa que as bibliotecas de código aberto muitas vezes usam outras bibliotecas de código aberto, conhecidas como dependências indiretas ou transitivas, gerando um complexo grupo de dependências. Do ponto de vista da segurança, o software em código aberto adiciona várias camadas de código aos aplicativos, e as vulnerabilidades podem habitar essas camadas (como vimos recentemente com Log4Shell). O gerenciamento desse risco exige um planejamento cuidadoso e implementação de políticas de segurança que abordem a ocorrência de possíveis ataques em bibliotecas de código aberto. Também é necessário que as equipes recebam ferramentas confiáveis e eficazes para corrigir as vulnerabilidades detectadas e possam acompanhar o surgimento de novas vulnerabilidades.

Diante da ampla adoção do código aberto e da complexidade cada vez maior das árvores de dependências, a Snyk formou uma parceria com a Fundação Linux para pesquisar como as organizações detectam, mitigam e reduzem os riscos de segurança introduzidos pelo software de código aberto. Hoje, temos o orgulho de apresentar o resultado dessa pesquisa: o relatório Estado da Segurança do Código Aberto em 2022.

Números essenciais da pesquisa

O relatório anual detalha os riscos significativos de segurança causados pelo uso difundido de software de código aberto. Nossa pesquisa revelou que muitas organizações não estão preparadas para lidar com esses riscos. Especificamente, descobrimos que:

  • 41% das organizações não têm muita confiança na segurança do seu software de código aberto.

  • Em média, um aplicativo em desenvolvimento contém 49 vulnerabilidades e 69 dependências.

  • O tempo necessário para corrigir vulnerabilidades em código aberto vem aumentando consistentemente, passando de 49 dias em 2018 para 110 dias em 2021.

  • 51% das organizações não têm uma política de segurança para desenvolvimento ou uso de software de código aberto.

  • 30% das organizações sem uma política de segurança de código aberto reconhecem prontamente que ninguém em suas equipes é responsável por lidar com a segurança do código aberto.

Possivelmente a descoberta mais importante é que muitas organizações ainda não entenderam completamente a dimensão das possíveis vulnerabilidades em pacotes de código aberto e não têm políticas em vigor para proteger efetivamente seus aplicativos. O uso de pacotes de código aberto requer uma nova maneira de pensar na segurança dos desenvolvedores, algo que diversas organizações ainda não adotaram.

Este relatório inédito encontrou indícios que indicam uma ampla ingenuidade no setor sobre o estado atual da segurança do código aberto. Em parceria com a Fundação Linux, pretendemos usar essas descobertas para educar ainda mais os desenvolvedores de todo o mundo, capacitando-os a desenvolver com agilidade e segurança.

Snyk

Matt Jarvis

Director of Developer Relations, Snyk

Sem dúvida, o uso de software de código aberto continuará em crescimento. Conhecendo os riscos que existem em pacotes de código aberto e entendendo como é possível se proteger contra esses riscos, as organizações podem usar a tecnologia de código aberto com eficiência e segurança. Encontrar as ferramentas e políticas mais eficazes para garantir a segurança do código aberto é um bom ponto de partida.

Sobre este projeto

O relatório Estado da Segurança do Código Aberto em 2022 é uma parceria entre a Snyk e a Fundação Linux, com apoio da OpenSSF, Cloud Native Security Foundation, Continuous Delivery Foundation e Eclipse Foundation. O relatório é baseado em uma pesquisa com mais de 550 participantes, realizada no primeiro trimestre de 2022, e em dados obtidos do Snyk Open Source, que verificou mais de 1,3 bilhão de projetos de código aberto.

wordpress-sync/feature-state-of-open-source-security-scaled

Publicado em:Segurança do código aberto
wordpress-sync/feature-state-of-open-source

Quer experimentar?

Snyk interviewed 20+ security leaders who have successfully and unsuccessfully built security champions programs. Check out this playbook to learn how to run an effective developer-focused security champions program.

Agende uma demonstração ao vivo

Saiba mais

A segurança do software de código aberto está cada vez mais importante. Descubra como as organizações gerenciam os riscos do código aberto neste relatório da Snyk e da Fundação Linux.

Baixe o relatório completo
Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk é uma plataforma de segurança para desenvolvedores. Integrando-se diretamente a ferramentas de desenvolvimento, fluxos de trabalhos e pipelines de automação, a Snyk possibilita que as equipes encontrem, priorizem e corrijam mais facilmente vulnerabilidades em códigos, dependências, contêineres e infraestrutura como código. Com o suporte do melhor aplicativo do setor e inteligência em segurança, a Snyk coloca a experiência em segurança no kit de ferramentas de todo desenvolvedor.

Comece grátisAgende uma demonstração ao vivo

Produto

O que é a Snyk?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerInfraestrutura como Código da SnykSnyk AppRisk (ASPM)Plataforma de Segurança para o DesenvolvedorSegurança de aplicativosSegurança da cadeia de suprimentos de softwareProteja o código gerado por IA DeepCode AIPreçosOpções de implantaçãoIntegraçõesPlugins de IDESegurança GitSegurança de pipelines de CI/CDSnyk CLISnyk LearnSnyk para JavaScript

Recursos

DocumentaçãoDocumentação da API da SnykStatus APIVulnerabilidades reveladasPortal de suporte e perguntas frequentesBlogElementos básicos da segurançaRecursos para líderes de segurançaRecursos para hackers éticosBanco de dados de vulnerabilidadesSnyk OSS AdvisorSnyk Top 10VídeosRecursos do cliente

Empresa

SobreClientesCarreirasEventosSnyk para governoKit de imprensaSegurança e confiançaTermos jurídicosPrivacidadePara os residentes na Califórnia: Não vender minhas informações pessoaisTermos de uso do site

Conecte-se

Agende uma demonstração ao vivoFale conoscoSuporteRelatar nova vulnerabilidade

Segurança

Segurança de aplicativosSegurança de contêineresSegurança da cadeia de suprimentosSegurança JavaScriptSegurança de código abertoSegurança AWSSDLC protegidoPostura de segurançaCódigo protegidoHacking éticoIA em cibersegurançaVerificador de códigoPythonCibersegurança para grandes empresasJavaScriptSnyk com GitHubSnyk vs VeracodeSnyk vs. Checkmarx

© 2024 Snyk Limited
Registrada na Inglaterra e País de Gales

logo-devseccon