Una ricerca di CA Veracode evidenzia il disallineamento fra sicurezza e operatività delle componenti open source in azienda.
L’analisi condotta da Vanson Bourne mostra che solamente il 52% degli sviluppatori che utilizza componenti open source o commercial per le applicazioni aggiorna tali componenti ogni volta che viene rivelata una nuova vulnerabilità, a testimonianza della mancata consapevolezza in materia di sicurezza che espone le aziende al rischio di violazioni.
I processi di sviluppo software basati su metodologie come DevSecOps hanno contribuito a migliorare la sicurezza del codice scritto dagli sviluppatori; nonostante questo, i processi di sviluppo puntano a ottenere velocità ed efficienza maggiori per tenere il passo con l’Application Economy.
CA Veracode ha commissionato a Vanson Bourne il compito di intervistare 400 sviluppatori di applicativi negli USA (200 soggetti), nel Regno Unito (100 soggetti) e in Germania (100 soggetti) allo scopo di fare il punto sul livello di maturità della sicurezza delle componenti utilizzate nelle organizzazioni. L’indagine è stata condotta online nel febbraio 2018.
Ne risulta spesso che molti sviluppatori facciano ricorso a componenti che mutuano le proprie caratteristiche e funzionalità da progetti e library già esistenti. Lo studio ha dimostrato che l’83% degli intervistati utilizza componenti commercial e open source, impiegando una media di 73 componenti per applicazione.
Sebbene contribuiscano a rendere più efficienti gli sviluppatori e nonostante il loro impiego sia ritenuto una best practice, queste componenti comportano alcuni rischi intrinseci. Pur avendo individuato una media di 71 vulnerabilità per applicazione derivanti dall’utilizzo di componenti di terze parti, solamente il 23% degli intervistati ha dichiarato di avere testato le componenti in occasione di ogni release per isolare eventuali vulnerabilità.
Potrebbe dipendere dal fatto che solo il 71% delle organizzazioni dichiari di possedere un programma di Application Security (AppSec) vero e proprio.
Inoltre, solamente il 53% delle organizzazioni mantiene un inventario di tutte le componenti delle proprie applicazioni e, secondo lo studio The State of Software Security Report 2017 (SOSS), meno del 28 per cento delle aziende esegue analisi regolari sulla composizione delle applicazioni per capire quali componenti siano presenti al loro interno.
Veracode, application security business di CA Technologies, propone una piattaforma SaaS con soluzioni integrate che aiutano addetti alla security e sviluppatori software a individuare e riparare eventuali falle di sicurezza in tutti i punti del ciclo di sviluppo del software, prima che possano essere sfruttati dagli hacker. Ha oltre 1.000 clienti in molti settori industriali.
Lo studio dimostra che i team addetti allo sviluppo (44%) o alla sicurezza (31%) tendono spesso a occuparsi della manutenzione delle componenti commercial e open Ssource di terze parti, il che sembrerebbe suggerire un’assunzione di responsabilità da parte dei team di sviluppo.
Di fronte alla crescente consapevolezza del rischio associato all’open source, è fondamentale mettere a disposizione degli sviluppatori le soluzioni, la formazione e la visibilità necessarie a mitigare i rischi.
