Il 73% delle applicazioni per la vendita al dettaglio contengono difetti di sicurezza, corretti solo in un quarto di esse

BURLINGTON, Mass.--(BUSINESS WIRE)--Veracode, importante fornitore globale di moderne soluzioni per testare la sicurezza delle applicazioni, oggi ha rivelato che quasi tre quarti delle applicazioni utilizzate nel settore della vendita al dettaglio e dell’ospitalità contengono difetti di sicurezza, ma che solo il 25% di questi viene corretto. Inoltre il 17% di queste falle nella sicurezza è classificato di "gravità elevata", ossia rappresentano un grave rischio per l'azienda nel caso in cui vengano sfruttate. Con il 76% degli americani che prevede di fare acquisti durante il Black Friday il prossimo 25 novembre* e il 56% che prevede di fare acquisti interamente online**, i rivenditori dovrebbero prestare particolare attenzione a rendere più sicuri i loro sistemi di e-commerce, pagamenti digitali e catene di fornitura.

I dati sono stati pubblicati nel rapporto annuale di Veracode State of Software Security (SoSS) v12 (Stato della sicurezza del software), che ha analizzato 20 milioni di scansioni in mezzo milione di applicazioni nei settori della vendita al dettaglio, della produzione, della sanità, dei servizi finanziari, della tecnologia e della pubblica amministrazione.

Chris Eng, Responsabile della ricerca presso Veracode, ha dichiarato, “Mantenere la fedeltà e la fiducia dei clienti è una priorità assoluta per i rivenditori, un fatto ancora più importante durante il periodo del Black Friday. Visto il costo medio di una violazione dei dati nel settore della vendita al dettaglio calcolato intorno ai 3,28 milioni di dollari***, Implementare pratiche e strumenti solidi per rendere sicure le applicazioni utilizzate dai clienti per navigare e fare acquisti è assolutamente indispensabile”.

Nonostante il numero relativamente basso di difetti che vengono corretti, il settore della vendita al dettaglio è al secondo posto per percentuale complessiva di correzione, sottolineando la necessità di miglioramenti nella sicurezza del software da parte di organizzazioni in tutti i settori. “Rispetto ad altri settori, i rivenditori sono più bravi a correggere i difetti quando vengono scoperti. Se da una parte questo è un fatto incoraggiante, è chiaro che occorre fare di più in tutti i settori per integrare l’identificazione e la correzione dei difetti nella pipeline dello sviluppo del software in modo da poter affrontare le vulnerabilità con maggiore efficienza”, ha affermato Eng.

La configurazione del server, le dipendenze poco sicure e i problemi di autenticazione sono le tipologie di difetti più comuni nelle applicazioni nella maggior parte dei settori. Il settore della vendita al dettaglio e dell’ospitalità segue un andamento analogo; tuttavia, è questo il settore che registra percentuali più elevate in quasi tutte le categorie di difetti, forse a causa della maggiore complessità funzionale delle applicazioni che interagiscono col cliente e quelle di back office.

I tempi di correzione dei difetti variano nella vendita al dettaglio

Veracode ha analizzato tre diversi tipi di scansione per generare confronti tra i tempi di correzione nel settore: test di sicurezza ad analisi dinamica (DAST), test di sicurezza ad analisi statica (SAST) e analisi della composizione del software (SCA). È emerso che i rivenditori sono stati i più rapidi ad affrontare i difetti scoperti da DAST, impiegando 70 giorni per raggiungere la metà del percorso, ossa un incredibile 46 giorni in meno rispetto ai servizi finanziari, che seguono al secondo posto nella classifica. Tuttavia, con SAST e SCA, il settore della vendita al dettaglio si è posizionato al centro del gruppo, con 346 giorni e 470 giorni rispettivamente per raggiungere la metà del percorso della correzione.

In tutti i settori i difetti nelle library di terze parti scoperti attraverso SCA persistono per più tempo rispetto a quelli identificati attraverso SAST e DAST, con il 30% delle library vulnerabili ancora irrisolte dopo due anni. Per il settore della vendita al dettaglio, questo dato statistico sale al 35% e ritarda di oltre sei mesi la media dell'intero settore. Tuttavia, i rivenditori dovrebbero essere certi che il divario non è mai troppo ampio per essere colmato. infatti, la relazione 2021 State of Software Security di Veracode ha rilevato che il 92% dei difetti open source può essere facilmente corretto con un semplice aggiornamento, il che è una buona notizia per i rivenditori che intendono proteggere le loro catene di fornitura di software.

In vista del Black Friday, e quasi un anno dopo la prima segnalazione della famigerata vulnerabilità Log4j, i rivenditori saranno in stato di massima allerta per mantenere la rapidità, l'efficienza e la sicurezza delle loro applicazioni. Le aziende devono prestare più attenzione per scoprire vulnerabilità nel software di terze parti utilizzando una combinazione di SCA e strumenti di sviluppo. Utilizzando questo approccio con Veracode, Darius Radford, Architetto della sicurezza applicativa presso il rivenditore specializzato Floor & Decor, è riuscito ad ottenere una visione complessiva del rischio posto da library vulnerabili nel software dell'azienda: “Siamo riusciti a capire rapidamente tutti i luoghi in cui operava Log4j e a rimediare alla situazione". Trey Tunnel, Responsabile della sicurezza delle informazioni di Floor and Decor, ha aggiunto, “I nostri clienti sono la nostra priorità assoluta. Con Veracode, abbiamo la certezza che il nostro software è sicuro, ma soprattutto i nostri clienti hanno la certezza che il nostro software è sicuro”.

Il Veracode State of Software Security v12 retail & hospitality snapshot è scaricabile qui e il rapporto completo è scaricabile qui.

* Future Publishing, “Exploring the impact of rising inflation”, Giugno 2022, https://go.future-advertising.com/Rising-Inflation-Research-Insights.html
** Dot Digital, “Black Friday Stats: Everything You Need to Know (updated 2022), Jenna Paton, 20 settembre 2022, https://dotdigital.com/blog/black-friday-cyber-monday-stats/
*** IBM Security and The Ponemon Institute, “Cost of a Data Breach Report 2022”, Luglio 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ

Informazioni sulla relazione State of Software Security

La relazione Veracode State of Software Security (SoSS) v12 ha analizzato tutti i dati storici relativi ai servizi e ai clienti Veracode. Questo rappresenta un totale di più di mezzo milione di applicazioni (592.720) che hanno utilizzato tutti i tipi di scansioni, più di un milione di scansioni di analisi dinamica (1.034.855), più di cinque milioni di scansioni di analisi statica (5.137.882) e più di 18 milioni di scansioni di analisi di composizione del software (18.473.203). Tutte queste scansioni hanno prodotto 42 milioni di risultati statici grezzi, 3,5 milioni di risultati dinamici grezzi e sei milioni di risultati SCA grezzi.

I dati rappresentano aziende grandi e piccole, fornitori di software commerciali, fornitori esterni di software e progetti open-source. Nella maggior parte delle analisi, un'applicazione è stata contata una volta sola, anche se era stata inviata diverse volte per risolverne le vulnerabilità e ne erano state caricate nuove versioni.

Informazioni su Veracode

Veracode è uno dei principali partner nel processo “AppSec” per la creazione di software sicuro, che riduce il rischio di violazioni della sicurezza e aumenta la produttività dei team di sviluppo e sicurezza. Grazie a Veracode, le aziende possono portare avanti la loro attività e il mondo. Con la combinazione di automazione, integrazione, velocità e reattività del processo offerta da Veracode, le aziende ottengono risultati accurati e affidabili e possono così concentrarsi sulla correzione, non solo sull’individuazione, di potenziali vulnerabilità. Ulteriori informazioni sul sito www.veracode.com, sul blog di Veracode e su Twitter.

Copyright © 2022 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio depositato di Veracode, Inc. negli Stati Uniti e può essere depositato anche in altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o sigle appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.

Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l'unico giuridicamente valido.