Veracode, fornitore di soluzioni di intelligent software security, ha pubblicato il suo nuovo report State of Software Security (SoSS) 2024, che svela la presenza preoccupante di un debito di sicurezza, rappresentato da vulnerabilità irrisolte da più di un anno, nel 42% delle applicazioni e nel 71% delle organizzazioni. Il 46% delle aziende presenta falle persistenti e di elevata gravità che rendono il loro debito di sicurezza “critico”, mettendole a serio rischio in termini di riservatezza, integrità e disponibilità.
La velocità di remediation diminuisce il debito di sicurezza del 70%
Secondo la ricerca, circa il 63% delle applicazioni presenta vulnerabilità nel codice proprietario, mentre il 70% contiene falle in quello di terze parti, importato tramite librerie esterne. Questo evidenzia la necessità di testare entrambi i tipi di codice durante il ciclo di vita dello sviluppo del software. Anche i tassi di remediation variano in base al tipo di vulnerabilità: la correzione delle falle di terze parti richiede il 50% di tempo in più, con la metà delle vulnerabilità note che vengono risolte in 11 mesi, rispetto ai sette mesi necessari per quelle presenti nei codici proprietari.
Un aspetto confortante emerge dal report: le falle di sicurezza a più alta gravità nelle applicazioni sono diminuite della metà rispetto al 2016, sottolineando un progresso nelle pratiche di sicurezza del software e l’impatto positivo della velocità degli interventi di remediation sul debito critico di sicurezza.
Il report SoSS 2024 rivela che i team di sviluppo che risolvono più velocemente le vulnerabilità riducono il loro debito di sicurezza critico del 75% (dal 22,4% a poco più del 5% delle applicazioni). Inoltre, i team che agiscono rapidamente hanno una probabilità quattro volte inferiore di creare un debito di sicurezza critico all’interno delle loro applicazioni.
Effetto della velocità di correzione delle falle sulla prevalenza dei debiti di sicurezza.
“Se da un lato continuiamo a vedere miglioramenti nel panorama della sicurezza, questi risultati rappresentano un campanello d’allarme per le organizzazioni che devono affrontare il loro debito di sicurezza. Dando priorità alla correzione delle falle, concentrandosi sulla sicurezza del codice di terze parti e adottando pratiche di sviluppo efficienti, le aziende possono ridurre significativamente il loro debito e migliorare lo stato generale della sicurezza del proprio software”, dichiara Chris Eng, Chief Research Officer di Veracode.
Affrontare IA e Software Supply Chain
In un momento in cui l’intelligenza artificiale sta rapidamente rivoluzionando lo sviluppo del software, il report SoSS 2024 di Veracode evidenzia una tendenza preoccupante. Come spiega Chris Eng, “Nonostante la velocità e l’efficienza che l’AI apporta allo sviluppo del software, non necessariamente questo implica la produzione di un codice sicuro. La ricerca mostrato che il 36% del codice generato da GitHub CoPilot contiene falle di sicurezza”. Questa proliferazione di codice non sicuro su scala rappresenta un rischio significativo per le aziende e l’intera software supply chain, portando ad accumulare debito di sicurezza nel tempo.
La prioritizzazione del rischio è fondamentale
La ricerca di Veracode ha anche rilevato le limitazioni della capacità dei team di porre rimedio alle falle, con solo il 64% delle applicazioni con funzionalità di remediation sufficienti ad eliminare il debito di sicurezza critico. In realtà, solo due applicazioni su dieci mostrano un tasso medio di correzione mensile superiore al 10% per tutte le vulnerabilità di sicurezza. Anche nei casi in cui la capacità dei team sia sufficiente, il report evidenzia la tendenza a non dare priorità alle falle critiche.
Ciononostante, c’è speranza di successo. Solo il 3% di tutte le falle costituisce un debito critico di sicurezza, ed è questo a rappresentare il rischio maggiore per le applicazioni. Dando priorità a questo 3%, le organizzazioni possono ridurre al minimo i rischi concentrando gli sforzi.
“L’AI apre anche la strada a una nuova frontiera della software security, consentendo alle aziende di scalare le proprie azioni di remediation e affrontare più facilmente il lungo arretrato di debiti di sicurezza, così come le nuove falle emergenti. La stragrande maggioranza delle CWE (Common Weakness Enumeration) con una valutazione di gravità da media a molto alta può essere affrontata attraverso modifiche al codice generate e suggerite dall’intelligenza artificiale di Veracode Fix”, conclude Chris Eng.