Los desarrolladores aún no manejan adecuadamente los datos confidenciales



Las principales clases de vulnerabilidades para 2019 indican que los desarrolladores aún no desinfectan correctamente las entradas, ni protegen las contraseñas y las claves como deberían.

Los proyectos de program de código abierto continúan luchando con el manejo de información confidencial, de acuerdo con escaneos automatizados de cientos de millones de confirmaciones para repositorios de código.

El fabricante de herramientas de seguridad de program DeepCode descubrió que cuatro de las siete clases de vulnerabilidades con el mayor impacto en la seguridad de los proyectos de application tenían que ver con fallas para proteger los datos. Las categorías de desinfección de datos de entrada faltantes y manejo de contraseñas inseguras reclamaron los dos primeros lugares en la lista de clases importantes de vulnerabilidad de la compañía. Otros dos problemas de seguridad de datos, la criptografía débil y la falta de ocultación de información, aparecieron en el n. ° 6 y n. ° 7 de la lista, que se publicó esta semana.

Los problemas subrayan que los desarrolladores deben seguir centrándose en la producción de código seguro en 2020, dice Boris Paskalev, CEO y cofundador de la compañía. «Creemos que cualquier desarrollador que tenga estos problemas debería querer ocuparse de ellos», dice, y agrega que los desarrolladores deben continuar aprendiendo sobre la seguridad. «Al menos en cualquier otro repositorio importante, vemos una vulnerabilidad de seguridad».

Impulsado por una mayor investigación sobre la seguridad del application, más program en desarrollo, una mayor apertura de las empresas a los informes de vulnerabilidad y, sobre todo, mejoras en el proceso de registro de informes de vulnerabilidad, la cantidad de problemas de seguridad de software package publicados en la Foundation de Datos Nacional de Vulnerabilidad aumentó a El nivel más alto registrado en 2019, superando 17.300 problemas reportados durante el año.

Esto continúa una tendencia que comenzó en 2017, cuando la cantidad de vulnerabilidades reportadas anualmente aumentó a 14,645, más del doble de la cifra del año anterior.

Centrarse en todos los problemas es imposible, por lo que los equipos de seguridad y los desarrolladores deben ser selectivos sobre dónde invierten su esfuerzo y capacitación en seguridad. La lista de Frequent Weakness Enumeration (CWE) de los errores de program más peligrosos, por ejemplo, apunta a diferentes clases de vulnerabilidades en función de su frecuencia relativa de ocurrencia en los últimos dos años.

Sin embargo, los desarrolladores tienen problemas para cerrar los agujeros de seguridad de manera oportuna. En un informe basado en pruebas de más de 85,000 aplicaciones, la firma de seguridad de application Veracode descubrió que las compañías solo logran corregir el 56% de las vulnerabilidades entre el primer y el último escaneo.

Desde sus escaneos de repositorios de código abierto y las confirmaciones (cambios realizados por los desarrolladores) hasta esos proyectos, la compañía puede rastrear el flujo y reflujo de vulnerabilidades a medida que se implementan en el código, se capturan y luego se reparan. La lista de las vulnerabilidades de seguridad más importantes puede actuar como una hoja de trucos para los desarrolladores, dice Paskalev.

«Casi cualquier gran marco de código abierto tiene estos problemas, por lo que es bueno saber qué buscar», dice.

La lista creada por DeepCode no solo cuenta las vulnerabilidades más comunes, sino lo que la compañía considera más importantes. La principal categoría de defectos son los valores de fecha y hora mal formados y el mal manejo de esas variables, pero esos errores generalmente no tienen un impacto importante en los programas, dice Paskalev. La compañía clasifica las vulnerabilidades en 200 categorías y se enfoca en las más impactantes para la lista.

«Un error podría ser cualquier cosa, desde una entrada no higiénica hasta tuberías rotas», dice. «La mayoría de ellos resultan en una degradación del rendimiento o una pérdida de recursos o memoria, cosas así».

Las herramientas automatizadas son críticas para encontrar vulnerabilidades y detectar errores de codificación antes de que se implemente el application, especialmente porque el program se make con mayor velocidad, dice Paskalev.

«Se necesita un conjunto de herramientas, herramientas automatizadas, para asegurarse de que detectan estos problemas», dice. «Desea verificar con la mayor frecuencia posible. Casi veo una verificación continua como un depurador».

Sin embargo, la administración corporativa también necesita crear un entorno donde la seguridad sea un foco para los desarrolladores. Si bien se espera que siete de cada diez desarrolladores escriban código seguro en sus trabajos, la mitad de los desarrolladores solo encuentran errores de codificación después de que las aplicaciones se implementan en un entorno de prueba o en una etapa posterior, según un informe de julio del proveedor de servicios DevOps GitLab.

contenido relacionado

Revisa El borde, La nueva sección de Darkish Reading para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «¿Qué herramientas encontrarán configuraciones erróneas en mis AWS S3 Cloud Buckets?»

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Reading, MIT&#39s Engineering Evaluate, Popular Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más ideas





Enlace a la noticia primary