A gigante da tecnologia Google revelou dados significativos que demonstram a eficácia de sua abordagem denominada “Safe Coding” na mitigação de vulnerabilidades relacionadas à segurança da memória. Este novo método, que prioriza o uso de linguagens de programação seguras para o desenvolvimento de novos códigos, trouxe resultados impressionantes, especialmente no sistema Android, que teve uma queda acentuada nas vulnerabilidades de segurança da memória. Entre os anos de 2019 e 2024, a porcentagem de vulnerabilidades relacionadas à memória caiu de 76% para apenas 24%. Essa redução é particularmente notável considerando que a média da indústria para questões de segurança da memória gira em torno de 70%. A eficácia da estratégia adotada pela Google oferece uma esperança renovada para desenvolvedores que enfrentam desafios semelhantes de segurança.
A essência da abordagem adotada pela Google se concentra em um insight contra-intuitivo, que sugere que concentrar-se em práticas de codificação seguras para o desenvolvimento de novos códigos pode reduzir rapidamente o risco de segurança geral de um código existente, mesmo com o crescimento do volume de códigos que não são seguros em memória. A análise realizada pela Google indica que as vulnerabilidades se deterioram de maneira exponencial ao longo do tempo, com um intervalo de meia-vida notável. De acordo com um grande estudo sobre a duração das vulnerabilidades publicado em 2022 na Usenix Security, foi confirmado que a vasta maioria das vulnerabilidades reside em códigos novos ou recentemente modificados. Essa descoberta traz à tona duas questões cruciais para os desenvolvedores: em primeiro lugar, a maior parte do problema reside em códigos novos, o que demanda uma mudança fundamental nas práticas de desenvolvimento; em segundo lugar, o código amadurece e se torna mais seguro ao longo do tempo, exponencialmente, diminuindo os retornos de investimentos em reescritas completas.
Os dados apresentados pela Google indicam que códigos com cinco anos têm de 3,4 a 7,4 vezes menor densidade de vulnerabilidades em comparação com códigos novos, dependendo do contexto específico. Diante dessa realidade, a Google não está advogando por uma reescrita total de códigos existentes que não são seguros em memória. Ao contrário, a empresa enfatiza a importância da interoperabilidade entre linguagens seguras e inseguras para memória. Essa abordagem permite que as organizações aproveitem os investimentos já realizados enquanto aceleram o desenvolvimento de novas funcionalidades mais seguras.
Para apoiar essa estratégia, a Google concedeu uma doação de £790.000 à Rust Foundation e desenvolveu ferramentas de interoperabilidade, como o Crubit e o autocxx. À medida que a indústria avança em direção ao Safe Coding, há uma expectativa de redução da dependência de mitigação de exploits tradicionais e métodos proativos de detecção, como o fuzzing. Contudo, essas técnicas são previstas para se tornarem mais direcionadas e eficazes quando aplicadas a trechos de código menores e bem encapsulados. Para os desenvolvedores de software, as descobertas da Google oferecem uma clara diretriz: priorizar linguagens seguras em memória para novos desenvolvimentos pode resultar em benefícios significativos de segurança, mesmo em sistemas existentes e amplos. Ao “fechar a torneira” de novas vulnerabilidades, os desenvolvedores podem aproveitar a deterioração natural de questões existentes para aprimorar a segurança geral do sistema.
Em um momento em que a indústria de software continua a enfrentar desafios de segurança, a estratégia de Safe Coding da Google apresenta um caminho promissor, oferecendo uma abordagem escalável e sustentável para a construção de software com alta garantia de segurança. A implementação dessa filosofia, aliada a investimentos em pesquisa e desenvolvimento de novas ferramentas, poderá não só reforçar a segurança de aplicativos como também oferecer diretrizes práticas para futuras inovações no domínio da programação segura.