Para companhias que estão preparadas para encontrar e reprimir os bugs de segurança em códigos, nunca houve momento melhor para aproveitar os hackers

Autor: Matt Asay (InfoWorld)

Estimativas apontam que mais de 100 bilhões de linhas de código são lançadas a cada ano, com uma proporção cada vez maior de software conectados à internet. Com isso, há mais riscos de os hackers se conectarem a esse código para fins próprios.

Para tentar conter o problema, os programas de recompensa por bugs estão crescendo. Mas, ainda que sejam positivos, eles são apenas um componente de como oferecer uma segurança mais apropriada.

Nos últimos anos, dezenas de milhões de dólares foram investidos no mercado para lidar com bugs facilmente acessados ​​por meio de conexões de internet.

A área de Tecnologia da Informação finalmente descobriu que os scanners e os testes de penetração, por mais efetivos que sejam, não descobrem todas as vulnerabilidades de segurança.

Ao mesmo tempo, se antes as empresas deixavam suas falhas escondidas, há uma grande mudança de uma mentalidade fechada em segurança para uma aberta. “As companhias estão finalmente percebendo que a defesa combinada é a melhor segurança e que a transparência é boa para a segurança”, diz Marten Mickos, CEO da HackerOne.

Mas isso não significa necessariamente que as empresas criaram a disciplina da segurança. Segurança não é tanto sobre tecnologia ou produtos, mas sim sobre uma disciplina cotidiana que todos deveriam seguir.

Trabalhar com código aberto (open source) é uma maneira de as companhias se esforçarem para levar a segurança mais a sério. Ao abrir o código para que todos vejam, provavelmente desenvolvedores serão um pouco mais cuidadosos com isso.

“A segurança é sobre a superação das ameaças, por isso é vital reagir rapidamente quando um incidente acontece”, comenta Michos. O código aberto não necessariamente entrega o software inerentemente mais seguro, mas fornece os meios para que as falhas sejam descobertas e corrigidas mais rapidamente.

O que não quer dizer que as falhas serão descobertas ou remediadas – os desenvolvedores e seus gerentes precisam dedicar recursos para realmente fazer esse trabalho. Na verdade, nem todas as empresas que lançam programas de recompensas por bugs estão de fato comprometidas com a correção dos bugs.

Mas, para as companhias que estão preparadas para encontrar e reprimir os bugs de segurança em seus códigos, nunca houve um momento melhor para aproveitar o poder dos hackers.

 

Fonte: Computer World