Veracode, una delle aziende leader nella gestione della sicurezza del software e del rischio applicativo, presenta il suo report annuale: State of Software Security (SoSS). La ricerca analizza le principali tendenze e il livello di maturità della sicurezza del software, con l’obiettivo di aiutare le aziende a migliorare la loro gestione del rischio applicativo.
Chi è e di cosa si occupa Veracode
Veracode è un’azienda di origine americana fondata nel 2006. Vanta quindi ormai un’esperienza quasi ventennale nel campo della sicurezza del software e nella gestione del rischio applicativo. È stata la prima azienda a proporre un servizio di analisi statica del codice per garantirne la sicurezza. Inoltre, è stata anche la prima a erogare tale servizio in cloud con un paradigma SaaS. Da lì, Veracode si è evoluta e ora dispone di una piattaforma in grado di fornire sicurezza all’intero ciclo di vita dello sviluppo software. Questo significa che oggi è in grado di effettuare analisi statica e dinamica del codice, analisi della composizione del software, della sicurezza dei container per gli applicativi distribuiti in cloud e penetration test.
Focus sulla postura di sicurezza
Nella sua evoluzione, Veracode ha smesso di considerare la sicurezza del software come elemento principale. In realtà, per l’azienda, ciò che va valutato è il rischio che l’azienda sta effettivamente correndo. La piattaforma di Veracode permette quindi al cliente di comprendere qual è la sua postura di sicurezza e quali sono i rischi più significativi a cui è esposto. Inoltre, questa valutazione può essere effettuata anche prima che il software venga messo in produzione, evitando così che l’azienda corra effettivamente tali rischi.
Un altro aspetto molto importante riguarda i dati generati dall’applicazione. La piattaforma mette in correlazione i dati ottenuti durante i test con quelli prodotti dall’applicativo quando è in esecuzione in un ambiente di produzione. Tale correlazione consente di verificare se il rischio percepito corrisponde al rischio effettivo. Questo rende possibile ridurre o aumentare il livello di rischio su applicazioni specifiche, a seconda delle necessità.
La soluzione offerta tramite AI
Oltre a individuare i problemi, Veracode mette a disposizione del cliente un sistema di intelligenza artificiale generativa per correggere le vulnerabilità. Si tratta di Veracode Fix: un LLM che presenta caratteristiche uniche rispetto alla stragrande maggioranza della concorrenza. La più importante di queste caratteristiche è il fatto che viene addestrato in modo supervisionato, utilizzando una base dati proprietaria e garantita. I dati con cui il modello viene addestrato sono il frutto di quasi vent’anni di esperienza di Veracode con i propri clienti. La qualità dei dati di addestramento e il fatto che un essere umano validi le operazioni di addestramento rendono il risultato finale estremamente affidabile. In alcuni case study che Veracode ha condotto su suoi clienti, in cui il 93% delle vulnerabilità rilevate poteva essere corretto da Veracode Fix.
Un altro aspetto importante è che lo sviluppatore non interagisce con il modello se non per accettare la correzione o selezionare tra più correzioni possibili. Non ci sono prompt da compilare per richiedere la correzione del problema, con il rischio di influenzare il risultato o inquinare il modello stesso. Da un punto di vista più filosofico, si può dire che l’unico vero prompt è il codice del programma.
Il report di Veracode
Lo State of Software Security di Veracode si basa sulle rilevazioni ottenute tramite 1 milione e 300 mila applicazioni uniche, che hanno contribuito con 126,4 milioni di risultati.
Un elemento importante che emerge dallo studio è che sembra esserci un aumento significativo del tempo medio necessario per risolvere i problemi di sicurezza. In soli cinque anni, questo valore è passato da 171 a 252 giorni, ma il contrasto più forte si ha con il primo report, di 15 anni fa, rispetto al quale l’aumento è del 327%.
Questo crescente ritardo genera nelle aziende un debito di sicurezza, ovvero un accumulo di vulnerabilità che, nel complesso, possono rappresentare un rischio. Infatti, secondo le rilevazioni, il 50% delle aziende presenta un debito di sicurezza critico, costituito da vulnerabilità presenti nel sistema da più di 12 mesi, la maggior parte delle quali (circa il 70%) derivanti da codice di terze parti e dalla supply chain del software.
Andando ad analizzare la distribuzione del debito di sicurezza tra le organizzazioni partecipanti, si osservano relativamente pochi casi critici (e anche virtuosi, purtroppo), mentre la maggior parte dei clienti si colloca su valori intermedi. Questa distribuzione, secondo Veracode, evidenzia la necessità di comprendere i fattori alla base di differenze così marcate nel modo in cui le aziende gestiscono il debito di sicurezza.
Il nostro studio fornisce solide prove del fatto che le aziende possono essere in grado di risolvere il loro debito di sicurezza, ma hanno bisogno di supporto per definire le priorità delle loro iniziative.
Chris Wysopal, Chief Security Evangelist di Veracode
Gli indicatori del livello di sicurezza del software
L’altro risultato importante che emerge dallo studio è l’identificazione di cinque metriche utili per valutare la postura di sicurezza di un’organizzazione. Congiuntamente, queste contribuiscono a stimare la capacità dell’organizzazione di ridurre il rischio in modo sistematico.
Ricorrenza delle vulnerabilità: le aziende leader riscontrano problemi in meno del 43% delle applicazioni, mentre quelle “in ritardo” superano l’86%.
Capacità di correzione: i leader risolvono mensilmente più del 10% dei problemi rilevati, mentre chi è in ritardo meno dell’1%.
Velocità di correzione: i leader correggono la metà delle vulnerabilità in cinque settimane, mentre chi è in ritardo può metterci più di un anno.
Diffusione del debito di sicurezza: meno del 17% delle applicazioni nelle aziende leader presentano un problema di sicurezza da più di 12 mesi a confronti del 67% delle aziende in ritardo.
Debito open-source: le organizzazioni leader hanno un debito critico derivato dall’uso di open-source inferiore al 15%, mentre per quelle in ritardo il 100% del debito critico è di origine open-source.
La problematica dell’open-source
Durante la discussione i è indicato più volte l’open-source come una delle fonti principali del debito di sicurezza. Tuttavia, Veracode ci ha tenuto a puntualizzare che non considera l’open source o l’adozione di librerie open una cosa negativa. Infatti, una delle mission dell’azienda è proprio quella di contribuire alla community identificando e segnalando problematiche di sicurezza all’interno dei pacchetti open.
Il messaggio che l’azienda vuole trasmettere è che occorre includere nelle analisi anche tutte le librerie open source ed essere pronti a farsi carico del fatto che una funzionalità potrebbe diventare indisponibile e che gli aggiornamenti software devono essere valutati con le dovute cautele.
Lo State of Software Security 2025 in sintesi
Il report di Veracode raccomanda alle aziende due aree su cui concentrarsi.
Innanzitutto, è necessario migliorare la visibilità e l’integrazione nell’intero ciclo di vita dello sviluppo del software. L’automazione e il feedback continuo possono, di fatto, prevenire la formazione di nuove falle di sicurezza.
In secondo luogo, è fondamentale adottare una visione unificata per la correlazione e la contestualizzazione dei risultati. In questo modo, le aziende saranno in grado di affrontare il debito di sicurezza accumulato in modo efficiente, eliminando per primi i rischi più significativi con uno sforzo minimo.
Chi desidera leggere il report completo State of Software Security 2025 può trovarlo sulla pagina web di Veracode. Per una sintesi dei risultati, invece, vi rimandiamo al blog dell’azienda.
- Gerardus Blokdyk (Autore)