Pesquisa - Software Security in LATAM: Survey Report
A segurança de software é um tópico de tendência em todo o planeta no momento, à medida que as empresas buscam uma rápida transformação digital e visam “reconstruir melhor” após a interrupção da pandemia. À medida que as unidades de negócios em todos os setores pressionam os desenvolvedores para implantar aplicativos mais inteligentes, rápidos e personalizados que aproveitem os dados do cliente, as partes interessadas no nível estratégico reconhecem que isso não deve ser feito à custa da segurança.
O impulso para mudar para a esquerda e integrar a segurança de software no início do ciclo de vida de desenvolvimento vem ganhando força, mas é justo dizer que diferentes regiões estão em diferentes níveis de maturidade na jornada para DevSecOps. Ao entender onde as diferentes regiões estão no espectro de DevSecOps e como estão lidando com as pressões do cenário de desenvolvimento de software, a Checkmarx e nossos parceiros podem garantir que fornecemos o suporte certo aos nossos clientes e fornecemos orientação oportuna e relevante.
Esse foi o raciocínio por trás desta recente pesquisa sobre segurança de software na América Latina, feita pela Global Survey Research e distribuída pela Checkmarx. Foram entrevistados 343 gerentes de Desenvolvimento, DevOps, Segurança e Gerenciamento de Projetos de países da América Latina, incluindo México, Brasil, Argentina, Colômbia e Chile. Os entrevistados eram de empresas de porte entre 50 e 10.000 funcionários em uma ampla variedade de setores, incluindo manufatura, software e tecnologia, serviços financeiros, hotelaria e petróleo e gás.
>ACESSE AQUI O MATERIAL DA PESQUISA
Descobrimos que a região está enfrentando desafios para atingir a velocidade de implantação de software necessária para atender às demandas de negócios. Há um reconhecimento generalizado de que a automação é a chave para elevar o desempenho da segurança e também há evidências de que aumentar o número de funcionários no problema não é a resposta – na verdade, piora o problema. Ao mesmo tempo, encontramos evidências de que uma cultura AppSec está começando a surgir, embora ainda existam áreas para melhorias.
As descobertas do leventamento direcionaram para cinco áreas principais:
1 – Ritmo e pressão de vulnerabilidades estão moldando o cenário de desenvolvimento de software LATAM
As empresas na América Latina passaram por uma rápida transformação digital, e isso é evidente na frequência de implantação de software. 58% por cento das empresas pesquisadas implantam semanalmente ou com mais frequência, com 13% implantando diariamente e 2% já adotando implantação contínua.
As organizações mudaram suas metodologias de desenvolvimento para suportar esse aumento no ritmo, com três quartos usando metodologias de implantação Agile e/ou DevOps e 49% adotando desenvolvimento orientado a recursos. As abordagens em cascata, lean e scrum são coisa do passado, com menos de 6% usando qualquer uma dessas abordagens.
Ao mesmo tempo, vulnerabilidades são frequentemente enfrentadas. Setenta e um por cento enfrentam regularmente vulnerabilidades de segurança de aplicativos móveis, dois terços veem fraquezas frequentes de infraestrutura como código e quarenta e seis por cento frequentemente detectam vulnerabilidades de aplicativos, como injeções de SQL e XSS. Curiosamente, quase metade (46%) diz que ocasionalmente enfrenta desafios de tecnologia nativa da nuvem, como na configuração e orquestração de contêineres, indicando que as organizações precisam de suporte para proteger esse aspecto do desenvolvimento de software.
2 – A remediação de vulnerabilidades não é tão rápida como deveria
Diante dessa variedade de vulnerabilidades e sob a pressão de um cronograma de entrega rápido, não é de surpreender que as equipes de desenvolvimento estejam lutando para responder tão rápido quanto gostariam.
Em mais da metade dos casos (51%) leva mais de um mês para remediar vulnerabilidades de código aberto/de terceiros. Mesmo para código proprietário, leva mais de um mês para resolver problemas para 48% dos entrevistados. Em média, leva 8,6 semanas para resolver vulnerabilidades de OSS/de terceiros e mais de nove semanas para corrigir o código interno. Isso deixa janelas de oportunidade significativas para os maus atores identificarem e explorarem essas vulnerabilidades.
O problema não é a falta de funcionários. Na verdade, nossa pesquisa mostrou que quanto mais desenvolvedores uma empresa tem, mais tempo leva para corrigir problemas após a detecção. Talvez isso ocorra porque as organizações estão superfocadas na implantação e, quanto mais desenvolvedores têm essa tarefa como prioridade, mais fraco se torna o foco na segurança.
Isso parece sincronizar com outra pesquisa que descobriu que são as partes interessadas de nível C, mais do que as equipes de desenvolvimento, que estão fortemente focadas na segurança. 26% dos CISOs e 25% dos entrevistados da alta gerência classificaram o desenvolvimento de código seguro como crítico, em comparação com apenas 13% dos membros da equipe de desenvolvimento e 16% dos gerentes de desenvolvimento. Quando se trata de segurança, o tom do topo é importante, portanto, as organizações devem procurar os líderes seniores para criar uma cultura e conscientização de segurança, definindo metas focadas em segurança e fornecendo educação para desenvolvedores para apoiar o imperativo de segurança.
3 – A automação está cada vez mais forte e teste manual está “Out”
Questionados sobre o que tornaria a implementação do AppSec mais fácil e eficaz em sua empresa, o forte consenso é que o teste manual é coisa do passado, com 99% dessa opinião.
Alinhando com nossa descoberta anterior, mais de 92% também sentiram que contratar mais desenvolvedores e engenheiros de controle de qualidade não resolveria o problema.
Em vez disso, eles buscam maior automação nas ferramentas de teste de segurança, integração mais direta de testes de segurança nos fluxos de trabalho do desenvolvedor e colaboração simplificada entre as principais equipes. Consequentemente, as organizações estarão buscando ferramentas que possam ajudá-las a atingir esses objetivos.
4 – Crescimento no orçamento associado a segurança
Como reflexo do crescente foco principal na segurança de aplicativos e na necessidade de investir em ferramentas, em vez de no número de funcionários, a grande maioria das organizações espera aumentar os orçamentos no próximo ano. Noventa e sete por cento verão os orçamentos aumentarem em 10% ou mais, com mais de um quarto (26%) esperando um crescimento de mais de 50%.
O investimento em segurança de aplicativos é uma resposta racional ao cenário de ameaças em escalada, dada a grande proliferação de código gerado por empresas modernas centradas em software. O risco de violações cresce cada vez mais e as penalidades – em termos de reputação, legais e operacionais – tornam-se mais críticas para os negócios a cada dia. As empresas precisam fazer todo o possível para dar suporte às equipes de desenvolvedores para criar aplicativos seguros sem comprometer a eficiência e a entrega.
Felizmente, isso é reconhecido, com 99% dizendo que planejam adotar mais ferramentas AppSec no curto prazo. A Análise de Composição de Software (SCA) está no topo da lista de desejos, com trinta e nove por cento planejando a compra, seguida por DAST (31%) e segurança de API com 29%.
5 – Uma cultura APPSEC proativa está emergindo na América Latina
Há sinais positivos de que uma abordagem AppSec está amadurecendo na região. Trinta e cinco por cento já estão usando o Static Application Security Testing (SAST) e pouco mais de um quinto (22%) está usando o Dynamic Application Security Testing no estágio de desenvolvimento. Tecnologias de teste emergentes também estão sendo adotadas, com trinta e dois por cento adotando testes de segurança de infraestrutura como código e vinte e oito por cento de testes de segurança de API.
Com o aumento do investimento em ferramentas de segurança automatizadas e o foco contínuo das partes interessadas seniores – que idealmente se estenderá às equipes de desenvolvimento por meio de educação e treinamento de conscientização – a região da América Latina parece pronta para fazer um bom progresso em direção ao objetivo crucial de desenvolvimento de software rápido e seguro.