A Positive Technologies, empresa que atua na área de segurança da informação, estudou e publicou os resultados de sua própria experiência de interação com desenvolvedores de software na área de divulgação de vulnerabilidades.
Uma análise retrospectiva das estatísticas sobre comunicações com fornecedores mostrou que em 2022-2023, 57% dos fabricantes de software responderam prontamente aos pesquisadores da empresa, enquanto apenas 14% de todos os desenvolvedores lançaram atualizações para software vulnerável no tempo idealmente curto – de um dia para dois semanas.
Número de vulnerabilidades descobertas em 2021-2023 de acordo com o NIST (fonte da imagem: Positive Technologies)
De acordo com o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST), o número de vulnerabilidades descobertas está em constante crescimento: em 2023, o seu número (28.902) excedeu os dois anos anteriores em 42% e 14%, respetivamente. Além disso, cada invasão e vazamento custa cada vez mais às empresas: o custo médio de um vazamento, segundo a IBM, aumentou 15% nos últimos três anos, atingindo US$ 4,45 milhões. Neste sentido, construir relações de confiança e transparentes entre fornecedores de software e investigadores de segurança da informação é de particular importância para fortalecer a protecção, enfatiza a Positive Technologies.
Os especialistas da empresa recomendam que os fornecedores adotem uma abordagem profissional: sigam uma política de divulgação responsável, confiem nos pesquisadores de segurança e mantenham comunicação ativa com eles, informando sobre os canais de comunicação. Além disso, os especialistas aconselham os fabricantes de software a construir um processo de gerenciamento de vulnerabilidades usando sistemas que forneçam informações sobre falhas graves no código do programa, que são importantes para eliminar primeiro.