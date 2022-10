Il 72% delle applicazioni contiene vulnerabilità; nel 12% dei casi sono considerate ‘estremamente gravi’, la percentuale minore di tutti i settori analizzati

Il settore presenta ulteriori margini di miglioramento, con alcuni dei tassi di correzione più bassi e più lenti, in particolare per le falle del software open source

BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, fornitore globale leader nelle soluzioni dei test per la sicurezza delle applicazioni, oggi ha rivelato che il comparto manifatturiero presenta il minor numero di falle di sicurezza nel software, scalzando così i servizi finanziari, che figuravano al vertice lo scorso anno. Questi dati sono illustrati in State of Software Security (SoSS) report v12, il documento che l’azienda pubblica a cadenza annuale. Per il report di quest’anno sono state analizzate 20 milioni di scansioni relative a mezzo milione di applicazioni nei settori manifatturiero, sanitario, dei servizi finanziari, tecnologico, governativo e della vendita al dettaglio.

Nel 2021, mentre il settore deve affrontare l’aumento della pressione e della domanda sulla supply chain, quello manifatturiero è risultato il comparto maggiormente preso di mira dai criminali informatici, con lo sfruttamento delle vulnerabilità identificato come principale vettore degli attacchi iniziali*. La protezione della supply chain del software, quindi, ha la massima priorità da quando normative come la direttiva presidenziale sulla sicurezza informatica negli Stati Uniti e la legge sulla resilienza informatica nell’Unione europea hanno puntato i riflettori su questo problema.

Chris Eng, Chief Research Officer presso Veracode, ha affermato: “ In un contesto in cui le aziende manifatturiere continuano a fare della sicurezza del software una priorità, è incoraggiante osservare la diminuzione delle falle nell’ultimo anno, soprattutto perché le innovazioni tecnologiche hanno portato a una maggiore adozione di nuove piattaforme e ambienti. Lo scorso anno abbiamo riscontrato delle falle nel 76% delle app manifatturiere, con il 21% considerato ‘estremamente grave’. Queste cifre sono calate nettamente”.

Le falle di sicurezza nell’open source permangono più a lungo

Nonostante i risultati positivi in ​​termini di prevalenza delle falle, la ricerca di Veracode ha rivelato che il manifatturiero, insieme alla sanità e al settore tecnologico, presenta la percentuale più bassa di falle corrette dopo la loro individuazione. Più allarmante ancora è il tempo richiesto per correggere tali problemi: le industrie manifatturiere registrano tempistiche tra le più lente in termini di falle rilevata dall’analisi statica (SAST), dall’analisi dinamica (DAST) e dall’analisi della composizione del software (SCA). Ad esempio, il 55% circa delle falle individuate grazie all’analisi statica resta irrisolto dopo un anno, e il comparto manifatturiero è costantemente in ritardo di quattro mesi rispetto alla media generale.

Le falle rilevate tramite analisi SCA nelle librerie di terzi restano irrisolte più a lungo in ogni settore, con il 30% delle librerie vulnerabili non corrette a distanza di due anni. Per quanto riguarda il manifatturiero, questa statistica sale a più del 40%, con un ritardo di oltre sei mesi rispetto alla media intersettoriale.

Il signor Eng ha commentato: “ Questo potrebbe essere dovuto al fatto che un numero maggiore di applicazioni industriali specializzate presenta meno difetti, ma più difficili da correggere, rispetto ad altri settori. I risultati sottolineano la necessità, da parte dei produttori, di concentrarsi sull’affrontare le falle in modo tempestivo”.

Alcune falle sono più comuni di altre

La ricerca ha inoltre analizzato i tipi di falle nei linguaggi di programmazione utilizzati per le applicazioni del manifatturiero, come Java, .NET e JavaScript. La ricerca di Veracode ha esaminato i tipi di falle che riguardavano le applicazioni, scoprendo che la configurazione dei server, le dipendenze non sicure e le perdite di informazioni sono tra quelle più comuni rilevate in questa industria.

Eng ha concluso: “ La sicurezza delle aziende e delle infrastrutture critiche dipende in larga misura dalla sicurezza della supply chain del software, che può essere ottenuta solo con la visibilità dei suoi componenti. L’integrazione della sicurezza nelle prime fasi del ciclo di vita dello sviluppo software e l’utilizzo di strumenti per generare una nomenclatura software (SBOM) garantiranno ai produttori di immettere sul mercato prodotti con meno vulnerabilità e, quindi, con meno rischi”.

* IBM Security, “X-Force Threat Intelligence Index”, febbraio 2022

Informazioni sulla relazione State of Software Security

La relazione Veracode State of Software Security (SoSS) v12 ha analizzato i dati storici completi dei servizi e dei clienti di Veracode. Si tratta in totale di oltre mezzo milione di applicazioni (592.720) per cui sono stati utilizzati tutti i tipi di scansione, oltre un milione di scansioni analitiche dinamiche (1.034.855), oltre cinque milioni di scansioni analitiche statiche (5.137.882) e oltre 18 milioni di scansioni analitiche sulla composizione del software (18.473.203). Tutte queste scansioni hanno generato 42 milioni di risultati statici grezzi, 3,5 milioni di risultati dinamici grezzi e 6 milioni di risultati SCA grezzi.

I dati rappresentano aziende grandi e piccole, fornitori di software commerciali, fornitori esterni di software e progetti open-source. Nella maggior parte delle analisi, un’applicazione è stata contata una volta sola, anche se era stata inviata diverse volte per risolverne le vulnerabilità e ne erano state caricate nuove versioni.

Informazioni su Veracode

Veracode è un partner leader di AppSec per la creazione di software sicuro, la riduzione del rischio di violazioni della sicurezza e la maggior produttività dei team per la sicurezza e lo sviluppo. Le aziende che si affidano a Veracode, quindi, possono promuovere la propria attività e far progredire il mondo. Grazie alla combinazione di automazione dei processi, integrazioni, velocità e capacità di risposta, Veracode aiuta le aziende a ottenere risultati accurati e affidabili per concentrare i propri sforzi sulla correzione, non solo sull’individuazione, di potenziali vulnerabilità. Per ulteriori informazioni visitare il sito www.veracode.com, il blog di Veracode e Twitter.

