Nel contesto attuale, caratterizzato da una crescente digitalizzazione e dall’adozione di strumenti di codifica avanzati come l’Intelligenza Artificiale (AI), molte organizzazioni si trovano a gestire un pesante debito di sicurezza, che le rende vulnerabili agli attacchi informatici. Secondo l’annuale report SoSS (State of Software Security) di Veracode, il 70% delle organizzazioni e il 42% delle applicazioni presentano vulnerabilità di sicurezza che perdurano da oltre un anno.
Queste criticità, spesso accumulate nel tempo, sono ulteriormente accentuate dalla rapida crescita delle applicazioni, che è aumentata del 40% negli ultimi anni. La consapevolezza dei rischi derivanti da codice non sicuro è stata ulteriormente evidenziata dall’adozione di normative come il Cyber Resilience Act dell’Unione Europea. Tuttavia, per affrontare efficacemente il problema del debito di sicurezza, è fondamentale migliorare la formazione del personale IT.
Cosa ci dice il Report SoSS di Veracode
Il report evidenzia che il 71% delle organizzazioni ha una forma di debito di sicurezza. Inoltre quasi la metà di queste (46%) presenta vulnerabilità di elevata gravità.
L’adozione estesa di codice di terze parti, soprattutto da librerie open-source, ha contribuito significativamente all’aumento del debito di sicurezza. Il 70% delle applicazioni contiene vulnerabilità nel codice di terze parti. Queste richiedono il 50% di tempo in più per essere corrette rispetto a quelle nel codice di prima parte. In media, le vulnerabilità nel codice open-source restano irrisolte per più di 11 mesi, rispetto ai sette mesi necessari per le falle nel codice di prima parte.
La rapidità con cui le vulnerabilità vengono risolte è cruciale per ridurre il debito di sicurezza. I team più veloci nel correggere le falle riducono il debito di sicurezza del 75% in più rispetto ai team più lenti. Inoltre, questi team hanno quattro volte meno probabilità di sviluppare debiti di sicurezza critici. Nonostante ciò, sono ancora pochi i team che affrontano le correzioni con la necessaria rapidità. Solo il 64% delle applicazioni dimostra una capacità sufficiente di eliminare il debito di sicurezza critico.
Naviga in sicurezza – Ottieni da questo link il 63% di Sconto con NordVPN
Prioritizzazione del rischio e l’uso dell’AI
Quando le nuove vulnerabilità superano la capacità dell’organizzazione di risolverle, diventa essenziale stabilire quali falle debbano essere affrontate per prime. In una parola: prioritizzazione In genere gli sviluppatori tendono a correggere le vulnerabilità più facili, trascurando quelle con un impatto maggiore. Fortunatamente, solo il 3% di tutte le vulnerabilità costituisce un debito di sicurezza critico, un obiettivo raggiungibile per la maggior parte dei team di sviluppo.
Per ridurre significativamente il debito di sicurezza, è necessario correggere le vulnerabilità più rapidamente. L’intelligenza artificiale, spesso vista come una minaccia per la sicurezza informatica, può invece accelerare il processo di correzione del codice. Modelli linguistici di grandi dimensioni (LLM), addestrati su CWE (Common Weakness Enumeration), possono suggerire fix sicuri su larga scala, migliorando velocità ed efficienza. Questa automatizzazione permette agli sviluppatori di concentrarsi su progetti di maggior valore per l’azienda.
In sostanza il report SoSS di Veracode sottolinea che l’accumulo di debito di sicurezza rappresenta una minaccia seria e invisibile per le organizzazioni. Una minaccia destinata a crescere con l’aumento dell’uso di AI e codice di terze parti. Per affrontare efficacemente questo problema, le organizzazioni devono investire tempo e risorse nella formazione dei team di sicurezza e nella gestione del rischio.
Identificare e prioritizzare i rischi più critici – insieme all’adozione di soluzioni AI per la correzione delle vulnerabilità – può aiutare le aziende a tenere sotto controllo il debito di sicurezza. E tenere sotto controllo il debito di sicurezza vuol dire aumentare la propria resilienza informatica.
- SUONO RICCO E AVVOLGENTE: goditi un’esperienza audio migliorata con voci più nitide e bassi più profondi per un’esperienza Echo Dot immersiva.
- MUSICA E PODCAST: ascolta musica, audiolibri e podcast da Amazon Music, Audible, Apple Music, Spotify e molto altro, tramite wi-fi o Bluetooth.
- FELICE DI AIUTARTI: chiedi ad Alexa le previsioni del tempo, di impostare dei timer, di rispondere alle tue domande o semplicemente raccontarti barzellette.
- LA TUA CASA INTELLIGENTE, SEMPRE PIÙ SEMPLICE: controlla i dispositivi per Casa Intelligente compatibili con la tua voce o imposta routine per azioni basate sulla temperatura.
- MIGLIORI INSIEME: sincronizza più dispositivi Echo compatibili o associa Fire TV per la massima esperienza visiva.