"Dívida de Segurança" como a Nova Realidade do Desenvolvimento de Software

A Veracode lançou seu relatório sobre o estado da segurança de software para 2026. A principal conclusão: os desenvolvedores ainda não conseguem corrigir vulnerabilidades tão rápido quanto elas são descobertas.

O estudo analisou 1,6 milhão de aplicativos testados na plataforma Veracode — desde software comercial até projetos de código aberto.

Dentro desta pesquisa, a empresa introduziu o termo "dívida de segurança", definido como a presença de vulnerabilidades conhecidas em aplicativos que permanecem sem correção por mais de um ano após a descoberta.

Principais números:

🔺 A share de organizações com "dívida de segurança" subiu de 74% para 82%. 🔺 60% das organizações encontraram vulnerabilidades críticas de segurança em 2026 (ante 50% no ano anterior). 🔺 A prevalência geral de vulnerabilidades em software caiu para 78% (de 80% um ano antes). 🔺 O tempo médio para remediar vulnerabilidades diminuiu de 252 dias para 243. 🔺 66% das vulnerabilidades críticas de longo prazo provêm de dependências e componentes de terceiros (cadeia de suprimentos).

A Veracode observa que os desenvolvedores não conseguem mais acompanhar a correção de cada falha descoberta. A empresa, portanto, exorta uma mudança de uma mentalidade de "corrigir tudo" para priorizar as fraquezas mais críticas e ativamente exploradas, avaliadas por meio de métricas e ferramentas mais precisas.

Este estudo destaca mais uma vez os desafios crescentes no desenvolvimento de software. A "dívida de segurança" não é mais uma exceção — para a maioria das empresas, tornou-se uma condição sistêmica. Notavelmente, uma grande parte das vulnerabilidades críticas origina-se de componentes de terceiros. Isso significa que os riscos surgem não apenas dentro das equipes de desenvolvimento, mas em toda a cadeia de suprimentos de software. Apesar de uma ligeira redução nos tempos de remediação, o backlog total de vulnerabilidades continua a crescer. Para os atacantes, isso fornece um pool constante de fraquezas conhecidas para reutilizar. Em essência, estamos enfrentando um problema estrutural: o volume de código e dependências está expandindo mais rápido do que a capacidade das equipes de protegê-lo.

Leia o estudo completo no relatório original da Veracode.