Veracode e o estado da segurança aplicacional

A Veracode lançou há pouco um relatório muito interessante que apresenta, da sua perspectiva, e com base num estudo que realizou sobre dados recolhidos no seu trabalho de campo, o estado da segurança nas aplicações actuais. As ideias principais, no sumário executivo, dizem-nos o seguinte:

1. O software é, numa grande parte, muito inseguro;
2. O software desenvolvido por entidades externas, third-parties, representa uma percentagem significativa na infra-estrutura de software empresarial, e dos componentes integrados na maioria das aplicações;
3. Os projectos opensource apresentam, em comparação com o software comercial ou desenvolvido em regime de outsourcing, uma segurança equivalente, tempos de correcção mais expeditos, e um número menor de portas-do-cavalo¹ potenciais;
4. Uma quantidade significativa de software comercial e opensource é escrito em C/C++, tornando-o desproporcionadamente susceptível a vulnerabilidades que permitem, aos atacantes, ganhar o controlo sobre os sistemas;
5. A prevalência de vulnerabilidades que podem ser facilmente corrigidas, indica falta de formação dos programadores sobre codificação segura;
6. Software de todos os tipos nos sectores financeiro e governamental, é relativamente mais seguro, pelos testes realizados na Veracode; e
7. O software desenvolvido em outsourcing é o menos auditado, o que sugere a ausência de critérios de segurança para a aceitação, assegurados contratualmente.

in State of software security report — The intractable problem of insecure software.

Vale a pena fazer umas diagonais sobre o documento, e prestar uma atenção especial às recomendações, sobretudo aquelas que visam directamente a componente humana, e.g. a formação.

Nota: o acesso ao relatório é condicionado pelo registo no site da Veracode.

¹ Backdoors.