Uno dei problemi maggiori che piaga il software aziendale sono le vulnerabilità, e il debito di sicurezza a esse associato. Veracode ha analizzato in un suo recente report i trend legati a questa problematica, e vuole fornire rimedio alla mancanza di visibilità sulle vulnerabilità critiche con le nuove funzionalità Universal Connector e Application Security Heatmap.
Con il suo studio “State of Software Security 2024 Language Snapshot“, Veracode ha analizzato diverse applicazioni scritte in diversi linguaggi, individuando la presenza di diversi debiti di sicurezza “critici” e “non critici”. Nel report, un debito di sicurezza è definito critico quando è relativo a una vulnerabilità ad alta gravità (con un punteggio CVSS elevato) che rimane non risolta per più di un anno. In altre parole, vulnerabilità che, se non risolte, possono risultare in gravi danni per l’infrastruttura IT di un’organizzazione.
Il numero di vulnerabilità critiche presenti nelle applicazioni è, fortunatamente, calato rispetto al 2016, ma rimane comunque elevato. E le aziende, soprattutto quelle di grandi dimensioni, tendono ancora ad accumulare una grande quantità di debito di sicurezza.
Dove risiedono le vulnerabilità?
Nonostante la maggior parte del debito di sicurezza sia presente nel codice di prima parte scritto dagli sviluppatori interni, la ricerca di Veracode ha rilevato che il debito di sicurezza più critico risiede nel codice di terze parti, come ad esempio nel software open source importato nella base di codice. Le librerie di terze parti, infatti, possono sì far risparmiare tempo agli sviluppatori, ma se non aggiornate frequentemente possono introdurre vulnerabilità critiche in tutti i progetti che le utilizzano.
Lo studio di Veracode ha rilevato che ben l’80% del debito critico nelle applicazioni Java e il 63% in quelle JavaScript risiede nel codice di terze parti. Inoltre, circa il 51% delle falle critiche nelle applicazioni Java si trasformano in debiti di sicurezza, mentre solo il 45% di livello medio-basse diventano tali.
“Con la quantità straripante di falle di sicurezza, gli sviluppatori non danno priorità a quelle che presentano i rischi maggiori. Sebbene concentrarsi sulle vulnerabilità non critiche possa portare a qualche soluzione rapida, gli sviluppatori dovrebbero utilizzare le loro capacità limitate per lavorare alla correzione delle falle critiche con il più alto impatto potenziale sulla sicurezza” spiega Chris Eng, Chief Research Officer di Veracode.
State of Software Security Report 2024
Com’è possibile combattere il debito di sicurezza?
Il report dipinge uno scenario abbastanza critico, per cui sorgono spontanee le domande: come risolvere le vulnerabilità presenti nelle applicazioni, e come evitare di introdurne di nuove?
Il primo passo è formare gli sviluppatori in modo che sappiano riconoscere e rimediare alle vulnerabilità più comuni. Si tratta di una soluzione efficace: lo studio rivela che le organizzazioni che investono nella formazione sulla sicurezza, ad esempio attraverso i Security Labs di Veracode, registrano una riduzione del 37% del debito di sicurezza rispetto al 48% di quelle che non hanno tale formazione.
Naviga in sicurezza con Nord VPN, Ottieni da questo link fino al 71% di Sconto
La formazione, però, non basta: serve uno strumento in grado di individuare i problemi di sicurezza, assistendo gli sviluppatori nella loro risoluzione. Fortunatamente, questo strumento esiste già, sotto forma di intelligenza artificiale. L’AI potrebbe infatti ridurre l’onere per i team di sviluppo, consentendo una risoluzione più rapida ed efficace dei problemi di sicurezza senza aumentare le dimensioni dei team.
Le soluzioni di Veracode: Universal Connector e Application Security Heatmap
Il problema rimane comunque la visibilità delle vulnerabilità. Veracode, con le sue due nuove soluzioni Universal Connector e Application Security Heatmap, vuole rispondere proprio a questa problematica, aumentando la visibilità dei rischi più critici e permettendo agli sviluppatori di risolvere più velocemente il debito di sicurezza delle applicazioni aziendali.
Universal Connector consente alle organizzazioni di accedere rapidamente a dati di origine disparati che altrimenti non potrebbero inserire nella piattaforma Longbow, senza dover aspettare un connettore specifico per lo strumento.
L’Application Security Heatmap, invece, mappa l’applicazione fino al proprietario e mostra un trend di rischio di 90 giorni, oltre a consentire la personalizzazione della soglia di rischio per soddisfare i criteri organizzativi. I team di sicurezza delle applicazioni e gli sviluppatori possono analizzare ogni applicazione, visualizzare la distribuzione del rischio e implementare le raccomandazioni dette “Best Next Action” per rimediare al rischio.
“Un crescente debito di sicurezza, una superficie di attacco in espansione resa più vulnerabile dall’intelligenza artificiale generativa e un volume schiacciante di avvisi di sicurezza rendono sempre più difficile per le aziende sapere a quali rischi applicativi dare priorità”, aggiunge Chris Eng.“Infatti, la nostra ricerca State of Software Security mostra che molte organizzazioni si concentrano maggiormente sulla correzione di falle di bassa gravità piuttosto che delle vulnerabilità critiche. I responsabili della sicurezza hanno bisogno di una tecnologia che consenta loro di scoprire e gestire in modo efficace il rischio applicativo, per poi ridurlo concentrandosi sui problemi più importanti dell’intera superficie di attacco”.
Per ulteriori approfondimenti, vi invitiamo a consultare il report completo scaricabile dal sito ufficiale di Veracode.
