Un'indagine a cura di Veracode rileva che un quarto delle applicazioni tecnologiche contiene vulnerabilità 'estremamente gravi' per la sicurezza che, se sfruttate, costituirebbero un grave rischio per la cybersicurezza

BURLINGTON, Mass.--(BUSINESS WIRE)--Veracode, fornitore globale leader nelle soluzioni dei test per la sicurezza delle applicazioni moderne, oggi ha rivelato che il 24% delle applicazioni del settore tecnologico contiene vulnerabilità di sicurezza considerate come a rischio elevato: il loro sfruttamento potrebbe causare problemi critici per l'applicazione. Poiché è probabile che la percentuale di applicazioni con falle di sicurezza sia maggiore rispetto a quella di altri settori, le aziende tecnologiche dovrebbero fornire ai team di sviluppo migliori percorsi di formazione e pratiche per la codifica sicura.

Il Chief Research Officer di Veracode, Chris Eng, ha dichiarato: "Fornire agli sviluppatori un'esperienza reale e concreta su quanto occorre per individuare e sfruttare una falla nel codice, e sul suo potenziale impatto sull'applicazione, fornisce il contesto e la comprensione necessari per formarne la competenza sulla sicurezza del software. La nostra ricerca ha rilevato che le organizzazioni i cui sviluppatori avevano completato anche una sola lezione del nostro programma di formazione pratica Security Labs sono riuscite a risolvere il 50% delle falle tagliando di due mesi sui tempi necessari a chi non aveva seguito questa formazione".

I dati sono stati pubblicati nel documento State of Software Security (SoSS) report v12 che l'azienda pubblica annualmente; l'edizione di quest'anno è il frutto dell'analisi di 20 milioni di scansioni relative a mezzo milione di applicazioni nei settori tecnologico, manifatturiero, sanitario, governativo, dei servizi finanziari e della vendita al dettaglio. Complessivamente, in termini percentuali, il comparto tecnologico è al secondo posto per applicazioni che contengono falle di sicurezza (79%), poco meglio del settore pubblico (82%). Il mondo tecnologico si colloca a metà classifica in termini di percentuale di vulnerabilità corrette.

Le aziende tecnologiche correggono le vulnerabilità del software in tempi relativamente brevi

È incoraggiante notare come, per le aziende tecnologiche, scoprire effettivamente delle vulnerabilità nelle proprie applicazioni significhi essere velocemente a metà strada nel percorso di correzione. Il comparto vanta infatti tempi di correzione leader di settore in termini di falle scoperte dai test di sicurezza tramite analisi statica (SAST) e dall'analisi della composizione del software (SCA). Si tratta di un risultato encomiabile, ma a questo comparto occorrono tuttora fino a 363 giorni per correggere il 50% delle falle, il che denota un margine di miglioramento tuttora ampio.

Il signor Eng ha aggiunto: "Lo scorso dicembre, Log4j ha fatto risuonare un campanello d'allarme per molte organizzazioni, a cui è seguito l'intervento del governo in termini di linee guida emanate dall'Office of Management and Budget (OMB) e dalla legge europea sulla resilienza informatica, entrambe focalizzate sulla supply chain. Per migliorare le performance nel prossimo anno, le aziende tecnologiche non dovrebbero solo valutare strategie che aiutino gli sviluppatori a ridurre la percentuale di falle introdotte nel codice, ma anche enfatizzare maggiormente l'automazione dei test di sicurezza nella pipeline di integrazione continua/fornitura continua (CI/CD), per aumentare l'efficienza".

Configurazione dei server, dipendenze non sicure e perdita di informazioni sono i tipi più comuni di vulnerabilità scoperti dall'analisi dinamica delle applicazioni tecnologiche, ampiamente simili ad altri comparti; il segmento mostra tuttavia la disparità più elevata rispetto alla media del settore per quanto riguarda i problemi crittografici e la perdita di informazioni, forse a seguito del fatto che gli sviluppatori nel mondo tecnologico conoscono meglio le sfide legate alla protezione dei dati.

Il riepilogo di Veracode State of Software Security v12 manufacturing può essere scaricato da questo link, mentre la versione integrale è consultabile a questo link.

Informazioni sulla relazione State of Software Security

La relazione Veracode State of Software Security (SoSS) v12 ha analizzato i dati storici completi dei servizi e clienti di Veracode. Si tratta in totale di oltre mezzo milione di applicazioni (592.720) per cui sono stati utilizzati tutti i tipi di scansione, oltre un milione di scansioni analitiche dinamiche (1.034.855), oltre cinque milioni di scansioni analitiche statiche (5.137.882) e oltre 18 milioni di scansioni analitiche sulla composizione del software (18.473.203). Tutte queste scansioni hanno generato 42 milioni di risultati statici grezzi, 3,5 milioni di risultati dinamici grezzi e 6 milioni di risultati SCA grezzi.

I dati rappresentano aziende grandi e piccole, fornitori di software commerciali, fornitori esterni di software e progetti open-source. Nella maggior parte delle analisi, un'applicazione è stata contata una volta sola, anche se era stata inviata diverse volte per risolverne le vulnerabilità e ne erano state caricate nuove versioni.

Informazioni su Veracode

Veracode è un partner leader di AppSec per la creazione di software sicuro, la riduzione del rischio di violazioni della sicurezza e la maggior produttività dei team per la sicurezza e lo sviluppo. Le aziende che si affidano a Veracode, quindi, possono promuovere la propria attività e far progredire il mondo. Grazie alla combinazione di automazione dei processi, integrazioni, velocità e capacità di risposta, Veracode aiuta le aziende a ottenere risultati accurati e affidabili per concentrare i propri sforzi sulla correzione, non solo sulla rilevazione, di potenziali vulnerabilità. Per ulteriori informazioni visitare il sito www.veracode.com oppure seguire l'azienda sul blog di Veracode, su LinkedIn e su Twitter.

Copyright © 2022 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio depositato di Veracode, Inc. negli Stati Uniti e può essere depositato anche in altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o sigle appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.

Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l'unico giuridicamente valido.