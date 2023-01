Oltre il 30% delle app contiene falle già alla prima scansione; nell’arco di cinque anni, quasi il 70% delle applicazioni presenta almeno un difetto

La scansione tramite API , la formazione pratica per la sicurezza e la frequenza delle scansioni sono i fattori chiave identificati per ridurre l’introduzione di falle nel corso del tempo

BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, leader globale di soluzioni di test della sicurezza delle applicazioni moderne, oggi ha presentato dei dati che potrebbero far consentire alle organizzazioni di tagliare sui tempi e sui costi aiutando gli sviluppatori a ridurre al minimo l’introduzione e l’accumulo di falle alla sicurezza nei loro software. La relazione State of Software Security 2023 (Stato sulla sicurezza del software 2023) di Veracode ha riscontrato che l’accumulo di falle nel tempo raggiunge dimensioni tali per cui quasi il 32% delle applicazioni presenta difetti alla prima scansione e, dopo essere state in produzione per cinque anni, quasi il 70% di esse contiene almeno una falla alla sicurezza. Veracode pubblica questa relazione annuale dal 2010, riepilogando le scoperte più importanti ricavate dalla sua base diversificata di clienti.

Dati i costi medi delle violazioni dei dati, pari a 4,35 milioni di dollari USA*, i team dovrebbero dare la priorità alle correzioni nelle prime fasi del ciclo di vita dello sviluppo del software, per ridurre al minimo i rischi generati dall’accumulo delle falle. Chris Eng, responsabile della ricerca presso Veracode, ha affermato: “ Come accade per tutti gli altri nostri studi, ci siamo riproposti di fornire informazioni immediatamente fruibili per gli sviluppatori. Dai risultati di quest’anno sono emerse due considerazioni importanti: innanzitutto come ridurre la possibilità di introdurre falle e, di conseguenza, come ridurne il numero. Oltre ai controlli tecnici degli accessi, le pratiche sicure di codifica risultano ancora più essenziali per la cybersicurezza nel 2023 e anche successivamente”.

Nessuna correlazione diretta tra la crescita delle app e l’introduzione di falle

Dopo la scansione iniziale, le app entrano rapidamente in un periodo di ‘stato di grazia’ per la stabilità e in quasi l’80% dei casi non viene rilevata alcuna nuova falla per i primi 1,5 anni. Successivamente, tuttavia, il numero di nuove falle introdotte ricomincia a salire, per attestarsi all’incirca al 35% dopo cinque anni.

Questo studio ha rilevato che la formazione degli sviluppatori, il ricorso a più tipi di scansione, inclusa quella effettuata tramite API, e la frequenza delle scansioni sono fattori che influiscono sulla riduzione della probabilità di introdurre difetti, il che suggerisce che i team dovrebbero renderli componenti chiave dei loro programmi di sicurezza software. Ad esempio, un periodo di diversi mesi tra le scansioni è correlato alla maggiore possibilità di rilevamento delle falle alla successiva scansione. Le vulnerabilità principali nelle app, inoltre, variano in base al tipo di test, e questo evidenzia l’importanza di utilizzare più tipi di scansione, per garantire che non vengano ignorate falle di difficile identificazione.

La fragilità dell’open source

Con la maggiore attenzione alla Software Bill of Materials (SBOM) nel corso dell’ultimo anno, il team di ricerca di Veracode ha esaminato anche 30.000 repository open source con hosting pubblico su GitHub. È interessante notare che il 10% dei repository non era stato sottoposto a commit, cioè a una modifica al codice sorgente, da quasi sei anni. Il signor Eng ha commentato: “ L’utilizzo di una soluzione per l’analisi della composizione del software (SCA) che oltre al National Vulnerability Database sfrutta più fonti per la rilevazione delle falle avviserà precocemente i team in caso di rilevazione di una vulnerabilità, e consentirà di mettere più rapidamente in atto le misure di protezione, idealmente prima che la falla venga sfruttata. Si consiglia inoltre di predisporre a livello organizzativo i criteri relativi al rilevamento e alla gestione delle vulnerabilità, oltre che di valutare i metodi per ridurre le dipendenze da terzi”.

Quando prevenire è meglio che curare: la strada verso il successo

Questa indagine di Veracode rivela i punti chiave che i team addetti alla sicurezza e allo sviluppo dovrebbero seguire:

Occuparsi al più presto e il più rapidamente possibile dei problemi tecnici o di sicurezza. La curva di correzione deve scendere prima e più velocemente, perché le applicazioni accumulano falle entro i due anni di vita. A seguito sia dell’aumento della complessità generata da anni di crescita continuativa, sia dalla minor attenzione allo sviluppo applicativo, questo trend continua ad aumentare, il che significa che vi è il 90% di probabilità che un’app contenga almeno una vulnerabilità entro i 10 anni di vita. La scansione frequente effettuata con diversi tool contribuisce a individuare e a correggere le falle che potrebbero venire introdotte o accumulate nel corso del tempo.

contribuisce a individuare e a correggere le falle che potrebbero venire introdotte o accumulate nel corso del tempo. Assegnare la priorità all’automazione e alla formazione alla sicurezza degli sviluppatori, per comprendere quali siano le vulnerabilità che potrebbero essere introdotte con maggior probabilità, oltre che alle tecniche per evitare del tutto l’introduzione delle falle. Complessivamente, i dati mostrano una probabilità del 27% di introduzione di nuove falle in un’applicazione in un dato mese. Le organizzazioni che effettuano le scansioni tramite API riducono al 25% questa probabilità. Anche completando 10 Security Labs, una piattaforma di formazione che offre un’esperienza pratica di rilevamento e correzione delle vulnerabilità, si riduce la probabilità di introduzione delle falle, nella misura dell’1,8% in un qualsiasi mese.

Predisporre un protocollo di gestione del ciclo di vita delle applicazioni che integri la gestione delle modifiche, l’allocazione delle risorse e i controlli organizzativi. Comprendere gli aspetti delle fasi di supportabilità e di controllo qualità nella propria organizzazione. Le discussioni iniziali potrebbero portare all’obsolescenza programmata per alcune applicazioni e a una revisione dei processi e delle misure di controllo qualità coinvolte nell’ingegnerizzazione continua dei prodotti.

Jay Jacobs, co-fondatore e data scientist presso The Cyentia Institute, che ha collaborato con Veracode alla stesura della relazione, ha concluso: “ La relazione State of Software Security di Veracode esamina in modo accattivante l’accumulo delle falle e il loro comportamento sulla base di quasi due decenni di dati. La portata e la profondità dei dati non ci permette di identificare semplicemente le pratiche ottimali, ma anche alcuni dei fattori meno percettibili di cui occuparsi nelle fasi iniziali del processo di sviluppo, per ridurre al minimo i rischi successivi”.

Lo studio State of Software Security 2023 di Veracode ha analizzato oltre tre quarti di milione di applicazioni tra fornitori di software commerciali, servizi di esternalizzazione del software e progetti open source. Il rapporto completo è disponibile per il download a questo link.

Informazioni sulla relazione State of Software Security

La relazione State of Software Security 2023 di Veracode ha analizzato i dati di aziende di ogni dimensione, fornitori di software commerciale, servizi di esternalizzazione del software e progetti open source. Il documento contiene i risultati di oltre tre quarti di milione di applicazioni (759.445) per cui sono stati utilizzati tutti i tipi di scansione, oltre un milione di scansioni analitiche dinamiche (1.262.147), oltre sette milioni di scansioni analitiche statiche (7.522.989) e oltre 18 milioni di scansioni analitiche sulla composizione del software (18.473.203). Tutte queste scansioni hanno generato 86 milioni di risultati statici grezzi, 3,7 milioni di risultati dinamici grezzi e 8,5 milioni di risultati grezzi sull’analisi della composizione del software.

