Remediação em Escala: O Que Equipes de AppSec de Alto Desempenho Fazem Diferente

A Semgrep analisou dados anonimizados de remediação de SAST e SCA de mais de 400 organizações em mais de 50.000 repositórios. A pesquisa revelou que equipes de alto desempenho atingem taxas de correção de SAST 2,4 vezes maiores e de SCA 3,3 vezes maiores que seus pares. A detecção na fase de PR (Pull Request) impulsiona um Mean Time To Recovery (MTTR) 9 vezes mais rápido em comparação com vulnerabilidades identificadas em varreduras completas. Falhas de autenticação e criptográficas exibem as maiores disparidades de desempenho entre as equipes líderes e as demais. Além disso, vulnerabilidades com mais de 90 dias raramente são resolvidas através do workflow normal. As recomendações incluem priorizar regras de bloqueio na revisão de PR, habilitar a análise de reachability de SCA e triar as vulnerabilidades de autenticação/criptografia antes do limite de 90 dias. Os dados completos do benchmark estão disponíveis em um PDF linkado na página.