Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

▷ “Agile está comendo o mundo do software” com mais microsserviços e varreduras de segurança semanais
Blogs4

“Agile está comendo o mundo do software” com mais microsserviços e varreduras de segurança semanais

Nota: O seguinte artigo irá ajudá-lo com: “Agile está comendo o mundo do software” com mais microsserviços e varreduras de segurança semanais

A Veracode analisou milhões de varreduras de software para entender como a engenharia de software mudou nos últimos 10 anos.

Sempre há uma nova vulnerabilidade para as equipes de segurança e desenvolvedores se defenderem, mas o Relatório de Segurança de Software da Veracode descobriu que as coisas estão melhorando lenta mas seguramente. A empresa analisou todo o seu conjunto de dados históricos para ver como a engenharia de software mudou na última década. As empresas de software implementaram as melhores práticas, como varreduras regulares e microsserviços para melhorar a segurança geral, de acordo com o relatório.

Os autores do relatório identificaram essas tendências com base em uma análise de milhares de aplicativos e milhões de verificações:

  • O desenvolvimento ágil de aplicativos pequenos e modulares comeu o mundo.
  • O código livre e de código aberto continuará sendo uma bênção e uma maldição.
  • As aplicações estão lenta mas seguramente ficando mais seguras.
  • Novas ferramentas continuarão a ajudar a melhorar o cenário de segurança de aplicativos.

As estatísticas do relatório ilustram as mudanças que estão impulsionando essa evolução para um software mais seguro, ou seja, testes e integração contínuos, o que significa adicionar verificação de segurança aos pipelines de desenvolvimento e tornar essa abordagem a norma.

Mais aplicativos estão sendo verificados do que nunca, o relatório afirma que “a maioria das organizações está criando, em média, mais de 17 aplicativos para verificação por trimestre, contra aproximadamente cinco uma década atrás”. A análise também descobriu que as verificações de segurança aram de trimestral para semanal e 90% dos aplicativos são verificados uma vez por semana. O relatório inclui uma análise de análise estática, dinâmica e de composição de software e considera o impacto de cada tipo de verificação na segurança geral.

A análise do Veracode também identificou o aumento de microsserviços, com base no número de aplicativos que usam vários idiomas: em 2018, cerca de 20% dos aplicativos incorporaram vários idiomas. Este ano, menos de 5% dos aplicativos usaram vários idiomas, sugerindo um pivô para aplicativos menores de um idioma ou microsserviços.”

Os analistas da Veracode também analisaram as tendências no uso de código de terceiros e não é surpresa que eles descobriram que os desenvolvedores “ficam com bibliotecas testadas e comprovadas e provavelmente não tentarão refatorar sua base de código para pegar as últimas mercadoria.” A boa notícia é que o relatório também descobriu que o percentual de bibliotecas com falhas conhecidas caiu de 35% para menos de 10% nos últimos quatro anos:

Há tendências claras para Java, JavaScript e Python, e essa tendência é muito boa, porque cai drasticamente. Em 2017, quase 35% (em média) das bibliotecas utilizadas tinham uma falha conhecida. Nos anos mais recentes, esse índice caiu para quase 10%. JavaScript ou de cerca de 10% para menos de 4%, Python de cerca de 25% para quase 10% e Go de 7% para 4%.

Os desenvolvedores também estão corrigindo falhas mais rapidamente, de acordo com o relatório: “Em 2017, seria
levar mais de três anos para chegar ao ponto de fechamento de 50% (meia-vida), e agora leva pouco mais de um ano.

Os dados principais deste relatório representam os dados históricos completos dos serviços e clientes da Veracode. Os dados representam grandes e pequenas empresas, fornecedores de software comercial, terceirizados de software e projetos de código aberto.

Isso representa um total de:

  • 592.720 aplicativos que usaram todos os tipos de digitalização
  • 1.034.855 varreduras de análise dinâmica
  • 5.137.882 varreduras de análise estática
  • 18.473.203 varreduras de análise de composição de software

Todas essas varreduras produzidas:

  • 42 milhões de descobertas estáticas brutas
  • 3,5 milhões de descobertas dinâmicas brutas
  • 6 milhões de descobertas de análise de composição de software bruto

Na maioria dos casos, um aplicativo foi contado apenas uma vez, mesmo que tenha sido enviado várias vezes, pois as vulnerabilidades foram corrigidas e novas versões foram carregadas. O relatório contém descobertas sobre aplicativos que foram submetidos a análise estática, análise dinâmica, análise de composição de software e/ou teste de penetração manual por meio da plataforma baseada em nuvem da Veracode.