Il software, si sa, non è perfetto: le falle di sicurezza sono sempre dietro l’angolo, come pure i cybercriminali che intendono sfruttarle. E la situazione è grave: più di due terzi delle aziende nell’area EMEA devono infatti affrontare un debito di sicurezza, in quasi la metà dei casi con un rischio “critico”. Ce lo rivelano i dati del report annuale di Veracode, State of Software Security (SoSS) 2024 per l’area EMEA.
La situazione del debito di sicurezza: uno sguardo d’insieme
In un mondo in cui il software è sempre più complesso, interconnesso e interdipendente, una vulnerabilità, anche minore, può trasformarsi in un disastro. Quindi, comprendere e gestire il debito di sicurezza è più che mai cruciale.
Il debito di sicurezza, definito all’interno del report come una falla del software non risolta per più di un anno, interezza il 68% delle aziende EMEA. Una statistica leggermente meno elevata rispetto al resto del mondo (71%), ma comunque importante.
Inoltre, quasi metà (46%) delle aziende EMEA prese in esame da Veracode presenta falle persistenti ad alta gravità nel codice, classificate come debito di sicurezza “critico”. Questa statistica è invece quasi in linea con la media globale, con solo 0,6% di scarto.
La maggior parte del debito di sicurezza proviene dal codice di prima parte, ma non bisogna ignorare quello di terze parti
Risolvere il debito di sicurezza è tutt’altro che semplice. Nella maggior parte dei casi, gli sviluppatori devono correggere manualmente le vulnerabilità presenti nelle applicazioni aziendali. Ciò comporta lentezza nella risoluzione delle criticità, con una costante ridefinizione delle priorità che va a complicare ulteriormente il processo di correzione.
Ma lasciamo parlare i dati. L’analisi delle velocità di remediation nell’area EMEA ha rilevato che le organizzazioni che utilizzano metodi manuali impiegano in media 19 mesi per correggere le falle nel codice di terze parti, rispetto ai 9 mesi per quello di prima parte.
Naviga in sicurezza con Nord VPN, Ottieni da questo link fino al 70% di Sconto
Per quanto riguarda invece le fonti del debito di sicurezza, il report di Veracode evidenzia come questo provenga per la maggior parte (84%) da codice di prima parte sviluppato internamente. Allo stesso tempo, l’80% del debito di sicurezza critico deriva da codice di terze parti: questo tende a passare inosservato, il che lo rende ancora più pericoloso.
“I risultati del report SoSS EMEA di quest’anno devono essere un campanello d’allarme per le aziende della regione EMEA, che dovrebbero concentrarsi sulla correzione dei debiti di sicurezza critici, che rappresentano il rischio più elevato”, spiega Massimo Tripodi, Country Manager Italia di Veracode.
Può l’intelligenza artificiale mitigare il debito di sicurezza?
Gli sviluppatori si stanno affidando sempre più a strumenti AI per generare codice. Il motivo è semplice: questi permettono di sviluppare codice in modo rapido ed efficiente. Ma è anche sicuro?
Non proprio. Stando a una recente indagine, il 36% del codice generato dallo strumento di AI generativa GitHub Copilot conteneva falle di sicurezza. Gli sviluppatori non dovrebbero quindi ciecamente affidarsi agli strumenti AI, ma revisionare, testare e debuggare codice, come hanno sempre fatto.
Con questo, non significa che l’intelligenza artificiale non possa darci una mano a mitigare il debito di sicurezza. Infatti, questa tecnologia può essere utilizzata anche per abbatterlo, supportando gli sviluppatori e i team di sicurezza e riducendo drasticamente i tempi di correzione delle vulnerabilità.
“Strumenti di remediation basati sull’AI possono far risparmiare ai team una quantità significativa di tempo, automatizzando le raccomandazioni di correzione e affrontando le falle su scala. Ad esempio, la nostra soluzione di correzione alimentata dall’intelligenza artificiale, Veracode Fix, ha ridotto i tempi di risoluzione delle vulnerabilità più comuni da giorni a minuti, migliorando in modo significativo la produttività degli sviluppatori”, aggiunge Massimo Tripodi.
Bisogna avere le priorità ben chiare
Fortunatamente, non tutto il debito di sicurezza è critico. Infatti, solo il 4% delle vulnerabilità presenti nei software aziendali è considerato tale, ed è su queste che le aziende dovrebbero concentrarsi. Solo una volta risposte a queste, le organizzazioni possono affrontare i debiti di sicurezza non critici o le falle critiche più recenti, in base alla loro capacità e propensione al rischio.
“La prevalenza del debito di sicurezza tra le organizzazioni EMEA evidenzia la necessità di un’azione immediata per proteggere le aziende da future violazioni. I responsabili della sicurezza e gli sviluppatori dovrebbero concentrarsi sulla correzione delle falle più critiche che rappresentano il rischio maggiore in funzione del contesto in cui si trovano. Le soluzioni di sicurezza basate sull’intelligenza artificiale che scalano gli sforzi di correzione consentiranno ai team di affrontare il crescente debito di sicurezza in modo più efficiente e di ridurre il tempo necessario per sfruttare le vulnerabilità”, conclude poi Massimo Tripodi.
Per ulteriori approfondimenti, vi invitiamo a consultare la ricerca completa disponibile sul sito web di Veracode.
