Desenvolvedores não veem a segurança de aplicativos como uma prioridade, segundo estudo

O treinamento pode ajudar a aliviar alguns desses problemas, juntamente com diretrizes mais claras da istração.

Embora a maioria suponha que os desenvolvedores estão tornando as defesas cibernéticas um ponto focal, um novo estudo descobriu que esse pode não ser o caso. De acordo com a pesquisa State of Developer-Driven Security 2022 do Secure Code Warrior, 86% dos desenvolvedores disseram que não veem a segurança de aplicativos como uma prioridade máxima ao escrever código.

A pesquisa com mais de 1.200 desenvolvedores também descobriu que mais da metade dos entrevistados disseram que não podem garantir que seu código esteja protegido contra vulnerabilidades de segurança comuns. Além disso, apenas 29% dos entrevistados disseram acreditar que a escrita de código livre de vulnerabilidades deve ser priorizada.

“Os desenvolvedores querem fazer a coisa certa e, embora estejam começando a se preocupar mais com a segurança, seu ambiente de trabalho nem sempre facilita para eles a prioridade”, disse Pieter Danhieux, cofundador e CEO da Secure Código guerreiro. “Muitas vezes, as ferramentas à sua disposição – e os métodos que estão implantando – resultam em ‘subir’, em vez de reduzir ativamente o risco, e suas prioridades permanecem desalinhadas com a equipe de segurança.”

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Priorizando a segurança na codificação

Apesar do número de ataques de malware e ransomware que acontecem diariamente, muitos desenvolvedores não estão tomando as precauções necessárias para garantir que seu código permaneça seguro assim que for colocado em ação com antecedência. Muitos dos desenvolvedores estão se concentrando em lidar com os problemas somente depois que eles surgem, um ponto que precisa ser comunicado com mais clareza das empresas para seus criadores de código, diz Danhieux.

“Enquanto as organizações incentivam práticas de codificação seguras, os desenvolvedores não têm certeza de como são definidos em seu trabalho diário e o que se espera deles”, disse ele. “Para alcançar um padrão mais alto de qualidade de código, as organizações devem formalizar padrões de codificação seguros à medida que se aplicam aos desenvolvedores e orientar uma mudança de comportamento que reforce bons padrões de codificação e permita segurança em velocidade.”

As descobertas da pesquisa apontam para as dificuldades contínuas que os desenvolvedores continuam enfrentando em sua jornada de codificação segura:

• 36% atribuem a prioridade ao cumprimento de prazos como motivo pelo qual seu código ainda possui vulnerabilidades
• 33% não sabem o que torna seu código vulnerável
• 30% acham que seu treinamento interno de segurança poderia ser melhorado se tivesse um treinamento mais prático com cenários e resultados do mundo real
• 30% dizem que a maior preocupação com a implementação e prática de codificação segura é lidar com vulnerabilidades introduzidas por colegas de trabalho

O treinamento pode ser a solução para deficiências de codificação

Para ajudar a combater esses problemas, aqueles no nível executivo devem fazer um trabalho melhor na remoção de obstáculos ao desenvolver o código, de acordo com o estudo. As restrições de tempo impostas a essas funções foram citadas como um grande obstáculo por 24% dos entrevistados, enquanto 20% disseram que precisam de treinamento e instruções adicionais sobre como implementar melhor a codificação segura de seus gerentes.

O treinamento ainda continua sendo um fator determinante para aqueles em cargos de desenvolvimento, pois 81% disseram que ainda estão usando as informações retiradas da instrução diariamente. Embora esse treinamento esteja sendo empregado regularmente, 67% dizem que ainda existem vulnerabilidades em seu código. Isso aponta para uma maior quantidade de treinamento em áreas específicas, como segurança de código, para que os desenvolvedores possam garantir que seu código seja seguro. Um em cada quatro desenvolvedores diz que deseja mais treinamento autoguiado e acredita que as certificações do setor devem ser necessárias para o cargo.

Se os desenvolvedores receberem o treinamento necessário para codificar enquanto eliminam vulnerabilidades, isso pode levar as organizações a terem menos violações de segurança e ajudar a evitar as dores de cabeça associadas a esses ataques cibernéticos no futuro.