Os serviços Java são os mais afetados por vulnerabilidades de terceiros, de acordo com o relatório “State of DevSecOps 2024” divulgado recentemente pelo provedor de segurança em nuvem Datadog.

Lançado em 17 de abril, o relatório descobriu que 90% dos serviços Java eram suscetíveis a uma ou mais vulnerabilidades críticas ou de alta gravidade introduzidas por uma biblioteca de terceiros. A média para outros idiomas foi de 47%.

O relatório da Datadog analisou dezenas de milhares de aplicativos e imagens de contêineres e milhares de ambientes de nuvem para avaliar a segurança dos aplicativos. Seguindo o Java na avaliação de vulnerabilidades estavam o JavaScript, com cerca de 70%; Python, com 62%; .NET, com 50%; PHP, com 35%; e Go (golang) e Ruby, ambos com cerca de 32%.

Os serviços Java também eram mais propensos a serem vulneráveis ​​a explorações do mundo real com uso documentado por invasores. De uma lista de vulnerabilidades mantida pela Agência de Segurança Cibernética e de Infraestrutura dos EUA, 55% dos serviços Java foram afetados, em oposição a 7% daqueles construídos em outras linguagens.

As descobertas adicionais do relatório incluem:

  • Pelo menos 38% das organizações que utilizam Amazon Web Services (AWS) implantaram cargas de trabalho ou concluíram ações confidenciais manualmente por meio do console da AWS em um ambiente de produção em um período de 14 dias, o que significa que dependiam de operações de cliques arriscadas em vez de automação.
  • 63% das organizações continuam a confiar em credenciais de longa duração – uma das causas mais comuns de violações de dados – em pipelines de CI/CD, mesmo nos casos em que as de curta duração seriam mais práticas e seguras.
  • Apenas uma pequena parte das vulnerabilidades identificadas merecia ser priorizada.
  • A adoção de infraestrutura como código foi alta, mas variou entre os provedores de nuvem.
  • A grande maioria dos ataques realizados por scanners de segurança automatizados foram inofensivos e geraram apenas ruído para os defensores.
  • Imagens de contêiner leves levam a menos vulnerabilidades.

A Datadog disse que suas descobertas demonstram que as práticas modernas de Devops andam de mãos dadas com fortes medidas de segurança. A própria segurança ajuda a impulsionar a excelência operacional, disse a empresa. Mas a segurança só é realista quando os profissionais recebem contexto e priorização suficientes para se concentrarem no que importa.