• SQL Injection, Cross-Site Scripting e os Riscos Crescentes para Indústria de Software

    Publicado em 20-04-2011 03:30
    0 Comentários Comentários
    Devido a uma propensão de ataques cibernéticos direcionados juntamente com a exploração de vulnerabilidades comuns (como é o caso de injeção de SQL), a infra-estrutura de software de vários setores críticos permanece extremamente vulnerável. A especialista Veracode, descobriu que os fabricantes de segurança encarregados de proteger as empresas, colocam-nas muitas vezes ainda mais em risco, devido à baixa qualidade dos seus aplicativos de software. De fato, 72% dos produtos de segurança e aplicações de serviços analisados ​​neste relatório, não conseguiu cumprir os níveis de qualidade aceitáveis de segurança.

    No seu mais recente relatório de Segurança de Software, a Veracode analisou ​​4.835 pedidos que foram submetidos à sua plataforma de testes de aplicativos de segurança cloud-based, para a verificação de segurança independente. Esse número é quase o dobro do relatório anterior (emitido em setembro de 2010), e representa os pedidos analisados ​​ao longo dos últimos 18 meses.

    Apesar de muitas novas descobertas, há um ponto permanente de dados: o software continua sendo uma questão problemática. De fato, 58% de todas as aplicações de software de vários tipos de fabricantes, continua a não cumprir os níveis aceitáveis ​​de qualidade e segurança, mediante a apresentação inicial ao serviço da Veracode.

    O relatório inclui vários novos domínios de análise, incluindo um mergulho profundo na indústria do software, as informações trimestrais sobre tendências da prevalência de vulnerabilidades mais comuns como SQL Injection e Cross-Site Scripting (XSS), além de um estudo sobre falhas, possíveis correções e estatísticas de ocorrência.

    O que torna este dado especialmente importante é que em comparação com os relatórios que extrapolam os resultados depois de um ataque, a Veracode analisa as vulnerabilidades dos aplicativos desconhecidos antes de uma violação, e muitas vezes antes da implantação, para identificar onde existem pontos fracos em potencial.


    Padrões de Qualidade e Segurança das Aplicações


    Os ataques específicos em potencial incluem 66% das aplicações da indústria de software, que foram encontrados fora dos padrões de qualidade aceitável na área de segurança, enquanto 72% dos produtos específicos de segurança e aplicações de serviços tinham níveis de qualidade considerados inaceitáveis. De acordo com Matt Moynahan, CEO da Veracode, o objetivo em relação à esses relatórios de software de segurança é continuar a sensibilizar para a importância das vulnerabilidades comuns, tais como aquelas causadas ​​por falhas Injection SQL ou XSS.

    A Veracode é uma das primeiras empresas a ter ligação com a prevalência de software inseguro com lacunas quantificáveis, ​​em termos de competência de segurança e compreensão. Ao analisar dados associados com seus participantes do programa eLearning, Veracode descobriu que mais de 50% daqueles fabricantes que submeteram uma aplicação de segurança ao exame fundamental, recebeu uma nota C ou classificação inferior. Mais de 30% recebeu uma nota negativa entre D e F.

    Esses dados sustentam a necessidade crítica das organizações, em assumir a responsabilidade de instituir uma política de segurança mais rigorosa, treinamento de desenvolvedores contextuais e programas de educação. Tudo isso com a intenção de melhorar os níveis de aplicação de competências de segurança.


    Links de Interesse:

    - Veracode
    - Software Industry Risks and SQL Injection Trends
    + Enviar Comentário