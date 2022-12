Ma il settore è leader nella tempistica delle correzioni delle falle dopo il loro rilevamento

BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, fornitore globale leader nelle soluzioni dei test per la sicurezza delle applicazioni moderne, oggi ha rivelato che il 24% delle applicazioni del settore tecnologico contiene vulnerabilità di sicurezza considerate come a rischio elevato: il loro sfruttamento potrebbe causare problemi critici per l’applicazione. Poiché è probabile che la percentuale di applicazioni con falle di sicurezza sia maggiore rispetto a quella di altri settori, le aziende tecnologiche dovrebbero fornire ai team di sviluppo migliori percorsi di formazione e pratiche per la codifica sicura.

Il Chief Research Officer di Veracode, Chris Eng, ha dichiarato: “ Fornire agli sviluppatori un’esperienza reale e concreta su quanto occorre per individuare e sfruttare una falla nel codice, e sul suo potenziale impatto sull’applicazione, fornisce il contesto e la comprensione necessari per formarne la competenza sulla sicurezza del software. La nostra ricerca ha rilevato che le organizzazioni i cui sviluppatori avevano completato anche una sola lezione del nostro programma di formazione pratica Security Labs sono riuscite a risolvere il 50% delle falle tagliando di due mesi sui tempi necessari a chi non aveva seguito questa formazione”.

I dati sono stati pubblicati nel documento State of Software Security (SoSS) report v12 che l’azienda pubblica annualmente; l’edizione di quest’anno è il frutto dell’analisi di 20 milioni di scansioni relative a mezzo milione di applicazioni nei settori tecnologico, manifatturiero, sanitario, governativo, dei servizi finanziari e della vendita al dettaglio. Complessivamente, in termini percentuali, il comparto tecnologico è al secondo posto per applicazioni che contengono falle di sicurezza (79%), poco meglio del settore pubblico (82%). Il mondo tecnologico si colloca a metà classifica in termini di percentuale di vulnerabilità corrette.

Le aziende tecnologiche correggono le vulnerabilità del software in tempi relativamente brevi

È incoraggiante notare come, per le aziende tecnologiche, scoprire effettivamente delle vulnerabilità nelle proprie applicazioni significhi essere velocemente a metà strada nel percorso di correzione. Il comparto vanta infatti tempi di correzione leader di settore in termini di falle scoperte dai test di sicurezza tramite analisi statica (SAST) e dall’analisi della composizione del software (SCA). Si tratta di un risultato encomiabile, ma a questo comparto occorrono tuttora fino a 363 giorni per correggere il 50% delle falle, il che denota un margine di miglioramento tuttora ampio.

Il signor Eng ha aggiunto: “ Lo scorso dicembre, Log4j ha fatto risuonare un campanello d’allarme per molte organizzazioni, a cui è seguito l’intervento del governo in termini di linee guida emanate dall’Office of Management and Budget (OMB) e dalla legge europea sulla resilienza informatica, entrambe focalizzate sulla supply chain. Per migliorare le performance nel prossimo anno, le aziende tecnologiche non dovrebbero solo valutare strategie che aiutino gli sviluppatori a ridurre la percentuale di falle introdotte nel codice, ma anche enfatizzare maggiormente l’automazione dei test di sicurezza nella pipeline di integrazione continua/fornitura continua (CI/CD), per aumentare l’efficienza”.

Configurazione dei server, dipendenze non sicure e perdita di informazioni sono i tipi più comuni di vulnerabilità scoperti dall’analisi dinamica delle applicazioni tecnologiche, ampiamente simili ad altri comparti; il segmento mostra tuttavia la disparità più elevata rispetto alla media del settore per quanto riguarda i problemi crittografici e la perdita di informazioni, forse a seguito del fatto che gli sviluppatori nel mondo tecnologico conoscono meglio le sfide legate alla protezione dei dati.

Il riepilogo di Veracode State of Software Security v12 manufacturing può essere scaricato da questo link, mentre la versione integrale è consultabile a questo link.

Informazioni sulla relazione State of Software Security

La relazione Veracode State of Software Security (SoSS) v12 ha analizzato i dati storici completi dei servizi e clienti di Veracode. Si tratta in totale di oltre mezzo milione di applicazioni (592.720) per cui sono stati utilizzati tutti i tipi di scansione, oltre un milione di scansioni analitiche dinamiche (1.034.855), oltre cinque milioni di scansioni analitiche statiche (5.137.882) e oltre 18 milioni di scansioni analitiche sulla composizione del software (18.473.203). Tutte queste scansioni hanno generato 42 milioni di risultati statici grezzi, 3,5 milioni di risultati dinamici grezzi e 6 milioni di risultati SCA grezzi.

I dati rappresentano aziende grandi e piccole, fornitori di software commerciali, fornitori esterni di software e progetti open-source. Nella maggior parte delle analisi, un’applicazione è stata contata una volta sola, anche se era stata inviata diverse volte per risolverne le vulnerabilità e ne erano state caricate nuove versioni.

