Autor: Gustavo Gusmão

programador

Uma pesquisa divulgada nesta semana pela Aspect Security revelou que uma boa parte dos desenvolvedores de apps realmente não sabe lidar com segurança. Feito na forma de um questionário, entregue a 1.425 desenvolvedores de 695 empresas pelo mundo, o estudo mostrou, por exemplo, que 80% dos participantes não sabem proteger dados e informações de usuários.

Este resultado ruim talvez explique o número alarmante de vazamentos e casos de informações expostas que aconteceram nos últimos meses ou anos. Mas o problema maior é que ele não é o único apontado alarmante pelos resultados da pesquisa.

Além dele, o questionário mostrou que só 51% dos desenvolvedores avaliados demonstrou algum conhecimento em relação ao gerenciamento de sessões seguras (Secure Sessions Management), enquanto apenas 34% deles sabiam algo sobre a implementação de controle de acesso de URLs. Por fim, somente 26% entendiam de modelos de ameaças e avaliação de arquitetura de segurança (Threat Modeling and Security Architecture Review).

Há o que “comemorar”, no entanto. Mesmo com poucos mostrando conhecimento sobre alguns pontos cruciais, os desenvolvedores ainda demonstraram ter domínio sobre alguns dos assuntos. Quase 80% deles mostrou saber como evitar ataques de injeção de scripts, e uma parcela pouco maior que 70% saberia prevenir vulnerabilidades XSS (cross-site) e usar SSL nas aplicações criadas.

Execução – A “prova” foi entregue no decorrer de um ano a profissionais envolvidos em diferentes áreas da indústria de desenvolvimento, da financeira (pouco mais de 400 participantes) a militar (cerca de uma dezena), passando pela de software de TI e de saúde.

A maioria dos participantes (quase 50% deles) tinha menos de 2 anos de experiência na área, mas uma parte considerável dos avaliados  (perto dos 25%) passava dos 10 anos de atuação. Ainda assim, apesar da variedade, o resultado obtido foi similar em todos estes setores – o que mostra que o problema está bem longe de ser isolado.

Boa parte dos desenvolvedores (quase 500 deles, na verdade) obteve uma nota entre 60 e 70, que equivale a um já preocupante D. Porém, mais de 550 deles se mostraram ainda mais despreparados quando o assunto é segurança e acabaram com um F na avaliação – ou seja, uma nota entre 0 e 59. Menos de 350 avaliados, portanto, conseguiram um C ou um B, e cerca de 50 desenvolvedores obtiveram um A (entre 90 e 100). Se quiser checar todos os dados da pesquisa, clique aqui.

Fonte: INFO