Nonostante la bassa incidenza di difetti, il settore finanziario è indietro sul tasso di risoluzione
Il 30 percento dei difetti open-source rimane irrisolto dopo due anni
BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, uno dei principali fornitori globali di test di sicurezza delle applicazioni, oggi ha pubblicato dati che rivelano che il settore dei servizi finanziari è classificato tra i migliori per percentuale totale di difetti rispetto agli altri settori, ma ha uno dei tassi di risoluzione dei problemi più bassi. Il settore inoltre si posiziona a metà del gruppo per i difetti gravi, con il 18 percento delle applicazioni che contiene un’elevata vulnerabilità, il che suggerisce che le società finanziarie dovrebbero dare priorità all’identificazione e risoluzione di difetti con maggiore importanza.
Le scoperte sono state identificate nel rapporto annuale dell’azienda State of Software Security report v12, che ha analizzato 20 milioni di scansioni in mezzo milione di applicazioni nei settori finanziario, tecnologico, manifatturiero, sanitario e governativo e della vendita al dettaglio. Di tutti i sei settori, quello finanziario ha la penultima percentuale (73 percento) della classifica di applicazioni contenenti difetti di sicurezza. Nel rapporto dello scorso anno, il settore vantava il più basso numero di difetti di sicurezza nel software in tutti i settori, ma nello studio di quest’anno la posizione è stata superata dall’industria manifatturiera. Nonostante il minor numero complessivo di difetti, il settore dei servizi finanziari condivide la posizione in classifica con il settore tecnologico e governativo per numero più basso di difetti risolti.
“Uno dei vantaggi del servire la comunità di sviluppo del software da così tanti anni è che Veracode è in grado di vedere i cambiamenti nelle pratiche di sviluppo in tutti i settori nel tempo. Abbiamo constatato che mentre le applicazioni dei servizi finanziari hanno meno difetti di sicurezza rispetto all’anno scorso, il settore è indietro rispetto alle altre industrie per quanto riguarda il tasso di risoluzione. La nostra ricerca ha dimostrato che la formazione alla sicurezza è in grado di migliorare significativamente le velocità di risoluzione, e che le aziende i cui team di sviluppo avevano completato la formazione diretta utilizzando applicazioni in tempo reale aveva risolto difetti con una rapidità del 35 percento superiore rispetto a chi non aveva ricevuto questa formazione”, ha dichiarato Chris Eng, Direttore della ricerca presso Veracode.
Rendere sicura la filiera del software a livello globale
Mentre c’è indubbiamente ancora spazio per progredire in termini di prevalenza dei difetti e tassi di risoluzione, quando le società di servizi finanziari risolvono le vulnerabilità, esse agiscono a un ritmo più rapido rispetto alle altre.
Eng ha affermato, “L’ordine esecutivo statunitense sulla Cybersecurity, assieme ai mandati sui controlli di sicurezza relativi all’utilizzo dell’open-source, come il GDPR e il Regolamento sulla Cybersecurity del Dipartimento dei Servizi Finanziari di New York, ha evidenziato l’importanza di proteggere la catena di fornitura del software. Essere un settore altamente regolato aiuta a spiegare la relativa rapidità del settore finanziario nell’affrontare librerie vulnerabili attraverso l’analisi della composizione software (SCA).”
I difetti nelle librerie terze parti identificati attraverso SCA tendono a permanere più a lungo nelle industrie, con il 30 percento ancora irrisolto dopo due anni. Quando si tratta di affrontare vulnerabilità open-source, tuttavia, il settore finanziario risolve con la stessa rapidità di altri settori per il primo anno, ma poi accelera il ritmo per guadagnare un mese sulla media di tutti i settori.
Sebbene il settore finanziario superi per prestazioni la maggior parte delle altre industrie nei tempi di risoluzione di difetti rilevati in dinamica, SCA e statica, lo studio ha scoperto che c’è ancora molto da fare per continuare a migliorare, considerando il numero di giorni necessario per risolvere il 50 percento dei difetti—116 giorni per l’analisi dinamica, 385 giorni per la SCA, e 288 giorni per l’analisi statica. Con i componenti di terze parti che comprendono fino al 90 percento* del codice di un’applicazione, la scansione precoce e frequente utilizzando una combinazione di tipi di test riduce gli interventi di risoluzione di emergenza e mitiga il rischio di introdurre difetti di sicurezza di terze parti nel software.
La situazione attuale della sicurezza dei servizi finanziari Veracode State of Software Security v12 è scaricabile qui e un video dei risultati è disponibile qui.
* The Linux Foundation Statista, Joseph Perlow, “A Summary of Census II: Open Source Software Application Libraries the World Depends On” [Una sinossi di Census II: Librerie di applicazioni software open source sulle quali il mondo fa affidamento”: https://www.statista.com/statistics/617136/digital-population-worldwide/, 7 marzo 2022
About the State of Software Security Report
The Veracode State of Software Security (SoSS) v12 ha analizzato i dati storici completi forniti dai servizi e dai clienti Veracode. Questo rappresenta un totale di oltre mezzo milione di applicazioni (592.720) che hanno utilizzato tutti i tipi di scansione, più di un milione di scansioni di analisi dinamiche (1.034.855), più di cinque milioni di scansioni di analisi statiche (5.137.882) e più di 18 milioni di scansioni di analisi della composizione del software (18.473.203). Tutte queste scansioni hanno prodotto 42 milioni di risultati statici grezzi, 3,5 milioni di risultati dinamici grezzi, e sei milioni di risultati SCA grezzi.
I dati rappresentano aziende grandi e piccole, fornitori di software commerciali, fornitori esterni di software e progetti open-source. Nella maggior parte delle analisi, un’applicazione è stata contata una volta sola, anche se era stata inviata diverse volte per risolverne le vulnerabilità e ne erano state caricate nuove versioni.
About Veracode
Veracode è uno dei principali partner AppSec per creare un software sicuro, riducendo il rischio di violazione di sicurezza e incrementando la sicurezza e la produttività dei team di sviluppo. Di conseguenza, le aziende che si servono di Veracode possono far avanzare la propria attività e il mondo. Con la sua combinazione di automazione dei processi, integrazioni, velocità e reattività, Veracode aiuta le aziende a ottenere risultati precisi e affidabili per concentrare i propri sforzi sulla risoluzione, non solo identificazione, di potenziali vulnerabilità. Per saperne di più, visitare www.veracode.com, sul blog Veracode e su Twitter.
Copyright © 2022 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio depositato di Veracode, Inc. negli Stati Uniti e può essere depositato anche in altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o sigle appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.
Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l’unico giuridicamente valido.
Contacts
Per maggiori informazioni, contattare:
Katy Gwilliam
kgwilliam@veracode.com
