{"id":19401,"date":"2022-05-06T11:20:28","date_gmt":"2022-05-06T14:20:28","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19401"},"modified":"2022-05-06T11:45:38","modified_gmt":"2022-05-06T14:45:38","slug":"codigo-seguro","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/codigo-seguro\/","title":{"rendered":"C\u00f3digo seguro"},"content":{"rendered":"\n

A import\u00e2ncia de definir o c\u00f3digo seguro<\/span><\/h1>\n

\u00a0<\/p>\n

Os desenvolvedores que criam o software, aplicativos e programas que impulsionam os neg\u00f3cios digitais para se tornarem a for\u00e7a vital de muitas organiza\u00e7\u00f5es. <\/span>A maioria das empresas modernas n\u00e3o seria capaz de funcionar (com lucro), sem aplicativos e programas competitivos, ou sem acesso 24 horas a seus sites e outras infraestruturas.<\/p>\n

\u00a0<\/p>\n

E, no entanto, esses mesmos pontos de contato tamb\u00e9m costumam ser o gateway que hackers e outros usu\u00e1rios nefastos empregam para roubar informa\u00e7\u00f5es, lan\u00e7ar ataques e trampolim para outras atividades criminosas, como fraude e ransomware.<\/p>\n

\u00a0<\/p>\n

Ataques bem-sucedidos continuam prevalecendo, mesmo que os gastos com seguran\u00e7a cibern\u00e9tica na maioria das organiza\u00e7\u00f5es estejam aumentando, e mesmo que movimentos c<\/a>omo o DevSecOps estejam transferindo a seguran\u00e7a para os desenvolvedores que s\u00e3o a for\u00e7a vital dos neg\u00f3cios de hoje. Os desenvolvedores entendem a import\u00e2ncia da seguran\u00e7a e desejam principalmente implantar c\u00f3digo seguro e de qualidade, mas as vulnerabilidades de software continuam sendo exploradas.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Por qu\u00ea?<\/span><\/h2>\n

\u00a0<\/p>\n

Pelo 2\u00ba ano, o Secure Code Warrior realizou a pesquisa The state of developer-driven security, 2022 em parceria com a Evans Data Corp em dezembro de 2021, pesquisando 1.200 desenvolvedores globalmente para entender as habilidades, percep\u00e7\u00f5es e comportamentos quando se trata de pr\u00e1ticas de codifica\u00e7\u00e3o seguras e seu impacto e relev\u00e2ncia percebida no ciclo de vida de desenvolvimento de software (SDLC).<\/p>\n

\u00a0<\/p>\n

A pesquisa identificou a aus\u00eancia de uma defini\u00e7\u00e3o clara ou um entendimento sobre o que constitui um c\u00f3digo seguro. <\/span>Acontece que h\u00e1 uma grande discrep\u00e2ncia entre o que os desenvolvedores pensam que<\/em> \u00e9 c\u00f3digo seguro e o que realmente<\/em> \u00e9 c\u00f3digo seguro.<\/p>\n

\u00a0<\/p>\n

N\u00e3o foi surpresa que escrever c\u00f3digo de qualidade fosse uma prioridade para a comunidade de desenvolvimento. Mas quando questionados especificamente sobre c\u00f3digo seguro, apenas 29% disseram que a pr\u00e1tica ativa de escrever c\u00f3digo livre de vulnerabilidades foi priorizada. Em vez disso, os desenvolvedores associaram pr\u00e1ticas menos seguras e muito menos confi\u00e1veis \u200b\u200b\u00e0 cria\u00e7\u00e3o de c\u00f3digo seguro. Por exemplo, examinar o c\u00f3digo existente (37%) e confiar em bibliotecas de origem externa para c\u00f3digo seguro (37%) foram as principais pr\u00e1ticas que os desenvolvedores associaram \u00e0 codifica\u00e7\u00e3o segura. Reutilizar c\u00f3digo que j\u00e1 era considerado seguro (32%) foi outra escolha popular. A pr\u00e1tica ativa de escrever c\u00f3digo livre de vulnerabilidades ficou em 6\u00ba lugar com 29% afirmando que esta era uma pr\u00e1tica de topo na cria\u00e7\u00e3o de c\u00f3digo seguro.<\/p>\n

\u00a0<\/p>\n

Quando questionados, a falta de tempo e a falta de uma abordagem coesa da gest\u00e3o foram apontadas como as principais barreiras para criar um c\u00f3digo seguro.<\/p>\n

\u00a0<\/p>\n

A confian\u00e7a no c\u00f3digo existente \u00e9 um dos fatores que aumenta o risco de o software ser distribu\u00eddo com vulnerabilidades explor\u00e1veis. Lidar com essa desconex\u00e3o do que constitui c\u00f3digo seguro \u00e9 necess\u00e1rio para que os desenvolvedores criem um c\u00f3digo de qualidade que tamb\u00e9m seja seguro.<\/p>\n

\u00a0<\/p>\n

O que as organiza\u00e7\u00f5es podem fazer para corrigir a situa\u00e7\u00e3o?<\/h2>\n

\u00a0<\/p>\n

Uma das principais mensagens da pesquisa foi que a comunidade de desenvolvedores como um todo est\u00e1 repleta de profissionais que se preocupam com o que fazem. Escrever c\u00f3digo de alta qualidade era extremamente importante para eles como um grupo. O problema \u00e9 que, em muitos casos, as organiza\u00e7\u00f5es para as quais trabalham n\u00e3o identificaram quais pr\u00e1ticas recomendadas s\u00e3o necess\u00e1rias para produzir c\u00f3digo seguro e n\u00e3o colocaram recursos suficientes em treinamento ou permitiram que seus desenvolvedores atingissem essas metas.<\/p>\n

\u00a0<\/p>\n

Na verdade, a maioria dos desenvolvedores afirmou que suas organiza\u00e7\u00f5es nem sequer tinham uma defini\u00e7\u00e3o clara do que constitui um c\u00f3digo seguro. Um dos exemplos mais preocupantes disso foi que 28% dos entrevistados da pesquisa disseram que sua organiza\u00e7\u00e3o considerava o c\u00f3digo seguro se nenhuma viola\u00e7\u00e3o fosse relatada depois que um aplicativo ou programa fosse implantado em um ambiente de produ\u00e7\u00e3o ou disponibilizado ao p\u00fablico.<\/p>\n

\u00a0<\/p>\n

Provavelmente n\u00e3o \u00e9 preciso dizer, mas no complexo cen\u00e1rio de amea\u00e7as de hoje, simplesmente esperar por bons resultados sem realmente trabalhar para eles provavelmente produzir\u00e1 resultados previs\u00edveis, ainda mais viola\u00e7\u00f5es de seguran\u00e7a.<\/p>\n

\u00a0<\/p>\n

Felizmente, esta \u00e9 uma situa\u00e7\u00e3o em que \u00e9 relativamente f\u00e1cil pelo menos come\u00e7ar a corrigir o problema e, em seguida, come\u00e7ar a trabalhar em dire\u00e7\u00e3o ao objetivo de c\u00f3digo seguro. O primeiro e sem d\u00favida o mais importante passo \u00e9 que as organiza\u00e7\u00f5es definam o que consideram ser um c\u00f3digo seguro. E tudo o que est\u00e1 fora dessa defini\u00e7\u00e3o precisa ser considerado n\u00e3o seguro.<\/p>\n

\u00a0<\/p>\n

A codifica\u00e7\u00e3o segura deve ser definida como a pr\u00e1tica de desenvolvedores habilidosos escrevendo c\u00f3digo livre de vulnerabilidades, desde o in\u00edcio do SDLC. Somente uma vez que essa pr\u00e1tica \u00e9 definida, a comunidade de desenvolvedores pode trabalhar em dire\u00e7\u00e3o a esse objetivo.<\/em><\/strong><\/p>\n

\u00a0<\/p>\n

Tornando o objetivo do c\u00f3digo seguro uma realidade<\/span><\/h2>\n

\u00a0<\/p>\n

Uma vez estabelecida a defini\u00e7\u00e3o de c\u00f3digo seguro, as organiza\u00e7\u00f5es precisam estar prontas para apoiar esses esfor\u00e7os e seus desenvolvedores que cumprir\u00e3o o objetivo de implementar pr\u00e1ticas de c\u00f3digo totalmente seguro. Esse apoio \u00e9 fundamental, sem ele a defini\u00e7\u00e3o de c\u00f3digo seguro dentro de sua organiza\u00e7\u00e3o, embora importante, ser\u00e1 pouco mais que um tigre de papel. As pr\u00e1ticas de codifica\u00e7\u00e3o seguras devem ser endossadas pela administra\u00e7\u00e3o e receber a devida considera\u00e7\u00e3o, autoridade e or\u00e7amento para ter sucesso.<\/p>\n

\u00a0<\/p>\n

Isso pode exigir novas metas de benchmarking para desenvolvedores, que tradicionalmente s\u00e3o medidos pela velocidade de sua codifica\u00e7\u00e3o. Na verdade, 37% dos desenvolvedores na pesquisa relataram deixar vulnerabilidades conhecidas em seu c\u00f3digo porque prazos apertados n\u00e3o permitiriam o tempo necess\u00e1rio para corrigi-las ou codificar corretamente desde o in\u00edcio.<\/p>\n

\u00a0<\/p>\n

A princ\u00edpio, isso pode significar aumentar os prazos para dar aos desenvolvedores mais tempo para codificar adequadamente, embora esse gasto de tempo no in\u00edcio do processo de codifica\u00e7\u00e3o provavelmente seja compensado mais tarde devido \u00e0 menor necessidade de revis\u00f5es de programas, patches e trabalho de p\u00f3s-implanta\u00e7\u00e3o. Eliminar a possibilidade de uma viola\u00e7\u00e3o implantada pode acabar economizando centenas de horas e possivelmente milh\u00f5es em perda de receita, multas e custos de limpeza.<\/p>\n

\u00a0<\/p>\n

Os desenvolvedores tamb\u00e9m precisar\u00e3o de treinamento pr\u00e1tico e relevante, especialmente no que se refere a vulnerabilidades espec\u00edficas que provavelmente encontrar\u00e3o, e ajudar\u00e3o a aprender como identificar e corrigir vulnerabilidades de c\u00f3digo. Isso \u00e9 especialmente verdadeiro \u00e0 luz de 36% dos entrevistados que disseram que queriam remover vulnerabilidades de seu c\u00f3digo, mas n\u00e3o tinham as habilidades ou o conhecimento para faz\u00ea-lo.<\/p>\n

\u00a0<\/p>\n

Quer ler mais informa\u00e7\u00f5es obtidas na pesquisa da Secure Code Warriors com 1.200 desenvolvedores em todo o mundo?\u00a0 Voc\u00ea pode acess\u00e1-los aqui: State of Developer Driven Security 2022.<\/a><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de:\u00a0 https:\/\/thehackernews.com\/2022\/05\/the-importance-of-defining-secure-code.html<\/a> \u00a0 (Autor: The Hacker News<\/span>)<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

A import\u00e2ncia de definir o c\u00f3digo seguro \u00a0 Os desenvolvedores que criam o software, aplicativos e programas que impulsionam os neg\u00f3cios digitais para se tornarem a for\u00e7a vital de muitas organiza\u00e7\u00f5es. A maioria das empresas modernas n\u00e3o seria capaz de funcionar (com lucro), sem aplicativos e programas competitivos, ou sem acesso 24 horas a seus […]<\/p>\n","protected":false},"author":2,"featured_media":19402,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,99],"tags":[],"class_list":["post-19401","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19401"}],"version-history":[{"count":6,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19401\/revisions"}],"predecessor-version":[{"id":19413,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19401\/revisions\/19413"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19402"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}