Il panorama della sicurezza informatica è stato oggetto di un’indagine dettagliata nel report “State of Software Security 2024” di Veracode, rivelando una situazione preoccupante: oltre il 70% delle organizzazioni si trova a dover affrontare un debito di sicurezza, di cui circa il 50% raggiunge un livello critico. Un dato sorprendente è che gran parte di questo debito deriva da codice di terze parti, con librerie open-source che rappresentano due terzi del problema. Veracode, per chi non ne avesse mai sentito parlare, è un fornitore di soluzioni di intelligent software security.
Ecco cos’è emerso dal report sulla sicurezza di Veracode
Una delle principali sfide nell’affrontare questo debito di sicurezza è il tempo richiesto per correggere le falle, soprattutto quelle nel codice di terze parti. Tuttavia, emerge una correlazione interessante: team di sviluppo più veloci possono ridurre il debito di sicurezza fino al 75%. Questo significa che la velocità di remediation ha un impatto significativo sulla riduzione del rischio e sull’aumento della sicurezza complessiva del software.
Naviga con NordVPN – Scopri la super offerta NordVPN – 63% di sconto
Secondo il report, il processo di correzione delle vulnerabilità nel codice di terze parti richiede il 50% di tempo in più rispetto alle falle nel codice proprietario. Tuttavia, i team di sviluppo che agiscono rapidamente possono ridurre il loro debito di sicurezza critico fino al 75%. Portando, quindi, da oltre il 22% a poco più del 5% delle applicazioni. Questo evidenzia l’importanza di una risposta tempestiva ed efficace alle vulnerabilità, specialmente considerando il rischio crescente che rappresentano per la sicurezza delle organizzazioni.
Ma quali sono le implicazioni di queste scoperte per le aziende? In primo luogo, è fondamentale dare priorità alla correzione delle falle. Diventa necessario concentrare gli sforzi sulle vulnerabilità critiche che rappresentano il 3% del totale, ma che costituiscono il rischio maggiore per le applicazioni. Inoltre, è essenziale adottare pratiche di sviluppo efficienti che consentano ai team di agire rapidamente nella risoluzione delle vulnerabilità. In particolar modo quelle nel codice di terze parti.
Affontare l’IA e software della supply chain
Oltre alle sfide legate al codice di terze parti, il report evidenzia un’altra tendenza preoccupante legata all’uso sempre più diffuso dell’intelligenza artificiale nello sviluppo del software. Chris Eng, Chief Research Officer di Veracode, infatti, ha dichiarato: “Se da un lato continuiamo a vedere miglioramenti nel panorama della sicurezza, questi risultati rappresentano un campanello d’allarme per le organizzazioni che devono affrontare il loro debito di sicurezza. Dando priorità alla correzione delle falle. Focalizzandosi sulla sicurezza del codice di terze parti e adottando pratiche di sviluppo efficienti, le aziende possono ridurre significativamente il loro debito. Inoltre, possono migliorare lo stato generale della sicurezza del proprio software.”
Sebbene l’IA possa migliorare l’efficienza e la velocità dello sviluppo, non garantisce automaticamente la produzione di codice sicuro. In effetti, secondo la ricerca “Security Weaknesses of Copilot Generated Code in GitHub“, il 36% del codice generato da GitHub CoPilot contiene falle di sicurezza! Questi dati sollevano seri interrogativi sulla sicurezza del software prodotto utilizzando queste tecnologie emergenti.
Di conseguenza, è essenziale che le aziende affrontino in modo proattivo i rischi legati all’uso dell’IA nel processo di sviluppo del software. Come primo intervento potrebbe essere necessario implementare controlli e procedure per garantire la sicurezza del codice generato da tali sistemi.
L’importanza fondamentale della prioritizzazione del rischio
Un’altra sfida identificata nel report è la capacità limitata dei team di remediation nel risolvere le vulnerabilità in modo tempestivo. Solo il 64% delle applicazioni, secondo il report, dispone di funzionalità di remediation sufficienti a eliminare il debito di sicurezza critico. Solamente il 20% mostra un tasso medio di correzione mensile superiore al 10% per tutte le vulnerabilità di sicurezza. Questo sottolinea l’importanza di investire nelle risorse e nelle competenze necessarie per affrontare efficacemente il debito di sicurezza e migliorare la sicurezza del software.
In conclusione, il report “State of Software Security 2024” di Veracode offre preziose informazioni sullo stato attuale della sicurezza del software e sottolinea l’importanza di agire rapidamente e in modo efficace per ridurre il debito di sicurezza. Le aziende devono adottare una strategia proattiva che includa la correzione tempestiva delle vulnerabilità, la prioritizzazione del rischio e l’implementazione di pratiche di sviluppo sicure per garantire la protezione dei propri sistemi e dati sensibili.
- Cervelli, Riccardo (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!