O software de código aberto tornou-se extremamente popular entre desenvolvedores e empresas de tecnologia, mas o uso irrestrito de soluções baseadas nele está se tornando um risco maior de segurança para os usuários. Isso é relatado no relatório The State of Open-Source Security, preparado em conjunto pela Snyk e pela Linux Foundation.
Fonte da imagem: Tezos/unsplash.com
A Snyk e a Linux Foundation dizem que mais de um terço das organizações não tem certeza sobre a segurança de suas soluções de software de código aberto.
De acordo com o porta-voz da Snyk, Matt Jarvis, os desenvolvedores de software hoje têm suas próprias cadeias de suprimentos – em vez de montar peças de carros, eles estão montando código, prendendo componentes existentes com seu próprio código exclusivo. Embora isso leve ao aumento da produtividade e inovação, também apresenta riscos de segurança significativos.
Em sua opinião, o relatório, o primeiro do gênero, encontrou evidências de ideias ingênuas de empresas de tecnologia sobre o estado do ecossistema de soluções baseadas em código aberto. Juntamente com a Linux Foundation, a empresa planeja usar essas informações para continuar educando e “equipando” os desenvolvedores do mundo, permitindo que eles continuem a construir softwares rapidamente, mantendo o nível de segurança necessário.
O estudo indica que o projeto médio de desenvolvimento de aplicativos tem 49 vulnerabilidades e 80 chamadas. “dependências diretas”. Além disso, o tempo para corrigir problemas identificados em projetos de código aberto está aumentando constantemente. Se em 2018 levou em média 49 dias para eliminar uma vulnerabilidade, em 2021 levará cerca de 110 dias.
O estudo é baseado em uma pesquisa com mais de 550 entrevistados no primeiro trimestre de 2022, bem como em dados do banco de dados Snyk Open Source, que inclui informações sobre 1,3 bilhão de projetos de código aberto.
Relata-se que apenas 49% das organizações têm uma política de segurança específica para desenvolver ou usar software de código aberto, em comparação com apenas 27% das médias e grandes empresas. Cerca de 30% das empresas chegaram a admitir que não têm uma única pessoa direta ou indiretamente responsável pela segurança dos programas de código aberto. Além disso, essas mesmas empresas não possuíam nenhuma política de segurança relacionada ao assunto.