Uma pesquisa divulgada nesta semana pela Aspect Security revelou que uma boa parte dos desenvolvedores de apps realmente não sabe lidar com segurança. Feito na forma de um questionário, entregue a 1.425 desenvolvedores de 695 empresas pelo mundo, o estudo mostrou, por exemplo, que 80% dos participantes não sabem proteger dados e informações de usuários.
Este resultado ruim talvez explique o número alarmante de vazamentos e casos de informações expostas que aconteceram nos últimos meses anos. Mas o problema maior é que ele não é o único apontado alarmante pelos resultados da pesquisa.
Além dele, o questionário mostrou que só 51% dos desenvolvedores avaliados demonstrou algum conhecimento em relação ao gerenciamento de sessões seguranas (Secure Sessions Management), enquanto apenas 34% deles sabiam algo sobre a implementação de controle de acesso de URLs. Por fim, somente 26% entendiam de modelos de ameaças e avaliação de arquitetura de segurança (Threat Modeling and Security Architecture Review).
Há o que "comemorar", no entanto. Mesmo com poucos mostrando conhecimento sobre alguns pontos cruciais, os desenvolvedores ainda demonstraram ter domínio sobre alguns dos assuntos.
Quase 80% deles mostrou saber como evitar ataques de injeção de scripts, e uma parcela pouco maior que 70% saberia prevenir vulnerabilidades XSS (cross-site) e usar SSL nas aplicações criadas.
Execução – A “prova” foi entregue no decorrer de um ano a profissionais envolvidos em diferentes áreas da indústria de desenvolvimento, da financeira (pouco mais de 400 participantes) a militar (cerca de uma dezena), passando pela de software de TI e de saúde.
A maioria dos participantes (quase 50% deles) tinha menos de 2 anos de experiência na área, mas uma parte considerável dos avaliados (perto dos 25%) passava dos 10 anos de atuação. Ainda assim, apesar da variedade, o resultado obtido foi similar em todos estes setores – o que mostra que o problema está bem longe de ser isolado.
Boa parte dos desenvolvedores (quase 500 deles, na verdade) obteve uma nota entre 60 e 70, que equivale a um já preocupante D. Porém, mais de 550 deles se mostraram ainda mais despreparados quando o assunto é segurança e acabaram com um F na avaliação – ou seja, uma nota entre 0 e 59. Menos de 350 avaliados, portanto, conseguiram um C ou um B, e cerca de 50 desenvolvedores obtiveram um A (entre 90 e 100). Se quiser checar todos os dados da pesquisa, clique aqui.
Fonte: Info
0 comentários:
Postar um comentário