A Intel anunciou na semana passada seu Relatório de Segurança de Produto de 2023, onde mostra que corrigiu 353 vulnerabilidades no ano passado.
No entanto, diferente do ano anterior, em que anunciou um pagamento de quase US$ 1 milhão em recompensas por bugs, nenhum valor de recompensa por vulnerabilidades foi divulgada no novo relatório.
E é claro que qualquer código suficientemente complexo terá bugs e possíveis vulnerabilidades.
Um compromisso com segurança em primeiro lugar e o investimento na segurança do produto igualando o tamanho do mercado que ele ocupa são cruciais, já que os clientes confiam na capacidade de resposta quando um problema é identificado.
Por isso, é estranho ver a ausência de um programa de bug bounty no relatório.
Talvez numa tentativa de se antecipar à defesa da empresa, o CEO da Intel, Pat Gelsinger, em um post no blog da fabricante de chips em setembro de 2023, desafiou os leitores a tentar encontrar "um fornecedor de silício que tome tantas ações e invista tanto quanto nós para entregar produtos mais seguros e resilientes para desenvolvedores e clientes".
A Intel assegura que investe pesadamente na garantia pró-ativa da segurança dos produtos, o que engloba esforços para detectar vulnerabilidades internamente e através de incentivos à comunidade externa de pesquisa de segurança através de programas de recompensas por bugs.
Em 2023, segundo a empresa, os investimentos pró-ativos em segurança de produtos representaram 94% das vulnerabilidades divulgadas publicamente.
De acordo com a Intel, ocorreram 208% mais vulnerabilidades de software do que em 2022, o que foi creditado ao crescente programa de bug bounty da empresa e aos programas de engajamento de pesquisadores de segurança.
Tanto que, das 353 vulnerabilidades corrigidas, 256 estavam presentes em aplicativos, drivers, kits de ferramentas, kits de desenvolvimento de software (SDKs) e utilitários.
Apesar disto, a fabricante de chips ressalta que houve 38% menos vulnerabilidades de firmware do que em 2022, totalizando 87 falhas encontradas em firmware, incluindo firmware de plataforma, componentes sem fio e FPGA (Field Programmable Gate Array), Intel NUC, SSDs (solid state drives), placas de servidores e outros produtos.
A Intel também aproveitou para incluir em seu relatório uma análise comparativa das vulnerabilidades da AMD.
Na verdade, este é o primeiro ano em que dados comparáveis estão disponíveis, visto que a AMD não divulgava as vulnerabilidades encontradas internamente até maio de 2022.
Os tipos de vulnerabilidades listados no gráfico à esquerda representam aqueles atribuídos aos CVEs disponíveis publicamente, usados para montar o relatório.
Em 2023, todas as vulnerabilidades da Intel foram pontuadas usando o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) versão 3.1, e cada CVE é publicado com um link para a calculadora CVSS 3.1 para fornecer aos clientes mais informações para suas avaliações de ameaças.
Não conseguimos confirmar no site da AMD qual sistema de pontuação CVSS eles estão usando e descobrimos que a AMD não fornece consistentemente a pontuação CVSS numérica em seus comunicados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...