A Intel divulgou na semana passada o seu Relatório de Segurança de Produto de 2023 no qual revela que corrigiu 353 vulnerabilidades no ano passado. Mas, ao contrário do ano anterior, quando anunciou o pagamento de quase US$ 1 milhão em recompensas por bugs, ela não divulgou nenhum valor de recompensa por vulnerabilidades no novo relatório.
É fato que qualquer código com complexidade suficiente terá bugs e vulnerabilidades potenciais. Um compromisso com a segurança em primeiro lugar e o investimento na segurança do produto igual ao tamanho do mercado que ele detêm são essenciais, uma vez que os clientes confiam na sua capacidade de resposta quando um problema é descoberto. Por isso, causa estranheza a não inclusão de um programa de bug bounty no relatório.
Talvez em uma espécie de antecipação da defesa da empresa, o CEO da Intel, Pat Gelsinger, em uma postagem no blog da fabricante de chip em setembro de 2023, desafiou os leitores a encontrarem “um fornecedor de silício que tome tantas medidas e invista tanto quanto nós para entregar produtos mais seguros e resilientes para desenvolvedores e clientes”.
A Intel afirma que investe pesadamente na garantia proativa de segurança dos produtos, o que inclui esforços para encontrar vulnerabilidades internamente e por meio de incentivos à comunidade externa de pesquisa de segurança por meio de programas de recompensas por bugs. Em 2023, segundo a empresa, os investimentos proativos em segurança de produtos representaram 94% das vulnerabilidades divulgadas publicamente.
Segundo a Intel, houve 208% mais vulnerabilidades de software do que em 2022, o que foi atribuído ao crescimento do programa de bug bounty da empresa e dos programas de envolvimento de pesquisadores de segurança. Tanto que das 353 vulnerabilidades corrigidas, 256 estavam em aplicativos, drivers, kits de ferramentas, kit de desenvolvimento de software (SDKs) e utilitários.
No entanto, a fabricante de chip destaca que houve 38% menos vulnerabilidades de firmware do que em 2022, totalizando 87 falhas descobertas em firmware, incluindo firmware de plataforma, componentes sem fio e FPGA (Field Programmable Gate Array), Intel NUC, SSDs (drives de estado sólido), placas para servidores e outros produtos.
A Intel aproveitou para incluir no relatório uma análise comparativa das vulnerabilidades da AMD. Na verdade, este é o primeiro ano em que dados comparáveis estão disponíveis, já que a AMD não divulgava as vulnerabilidades encontradas internamente até maio de 2022.
Os tipos de vulnerabilidades listados no gráfico à esquerda representam aqueles atribuídos aos CVEs disponíveis publicamente, usados para compilar o relatório. Em 2023, todas as vulnerabilidades da Intel foram pontuadas usando o Common Vulnerability Scoring System (CVSS) versão 3.1, e cada CVE é publicado com um link para a calculadora CVSS 3.1 fornecer aos clientes mais informações para suas avaliações de ameaças.
Fonte: Cisoadvisor