O número de desafios de segurança que as empresas enfrentam continua a crescer, mas as organizações estão começando a apresentar sinais de “exaustão de AppSec” ou diminuição do envolvimento nas práticas de segurança.
Isto está de acordo com o novo Relatório sobre o estado do código abertoque descobriu que o rastreamento de dependência e a frequência de envio de código permaneceram praticamente inalterados desde o ano passado. Houve apenas um ligeiro aumento na porcentagem de equipes que monitoram todas as dependências e uma ligeira diminuição no número de equipes que monitoram apenas as dependências diretas.
A maioria das empresas que não rastreiam dependências executam análises de composição de software program, o que Snyk acredita indicar que seu rastreamento não é sistemático, mas verificam dependências e componentes de código aberto em busca de vulnerabilidades.
Houve também uma estagnação na frequência de envio de código, o que Snyk diz ser uma indicação de que a maturidade do DevOps atingiu um patamar, já que ferramentas aprimoradas e experiência do desenvolvedor devem facilitar uma iteração de código mais rápida.
Outros sinais de esgotamento do AppSec são que nenhum dos oito métodos AppSec que Snyk incluiu em sua pesquisa foi usado por mais de 70% dos entrevistados. A análise de composição de software program é a mais widespread, mas só é usada por 69% dos entrevistados.
Além disso, houve um declínio na percentagem de organizações que implementam novas ferramentas para abordar as vulnerabilidades da cadeia de abastecimento, caindo de 60% em 2023 para 49% em 2024. Houve também uma diminuição no número de organizações que investem na formação em segurança da cadeia de abastecimento, de 53% em 2023 para 35% em 2024.
“Estas reduções sugerem que as organizações podem estar a sentir-se sobrecarregadas ou fatigadas pela pressão contínua das exigências de segurança da cadeia de abastecimento, levando a um compromisso reduzido com ações preventivas. Isto pode indicar fadiga, uma percentagem relativamente estável de organizações não afetadas pelas vulnerabilidades da cadeia de abastecimento apoia ainda mais esta fadiga potencial, uma vez que alguns podem optar por se desligar em vez de investir continuamente em requisitos de segurança complexos e em evolução”, escreveu Snyk no relatório.
Outras descobertas interessantes são que:
- 52% das organizações não conseguiram cumprir os SLAs de mitigação de vulnerabilidades
- 45% precisam substituir componentes de construção vulneráveis
- Menos de 25% das organizações auditam regularmente a sua cadeia de fornecimento de software program
Para o relatório, Snyk entrevistou 453 profissionais de desenvolvimento e segurança de setores como automotivo, serviços empresariais, comunicações, educação, energia e serviços públicos, entretenimento/mídia, serviços financeiros, governo e tecnologia SaaS.