Quali metodi preferiscono utilizzare gli hacker per colpire le loro vittime dall’esterno? Il 26% colpisce la catena di fornitura del software, il 25% esegue exploit di vulnerabilità del software, il 22% utilizza il phishing, il 21% il social engineering e un altro 21% attacchi web strategici – secondo il Forrester State of Application Security Report 2023. Si tratta di cifre che mostrano chiaramente come le lacune nella sicurezza del software siano tra i principali punti di accesso per gli aggressori. Ma perché il software non è più sicuro? Le ragioni sono diverse. Una delle più importanti è la mancanza di formazione sulla programmazione sicura. Le università faticano a tenere il passo e gli studenti non sono adeguatamente preparati per il mondo reale. L’educazione alla cybersicurezza si concentra troppo sulla protezione dai problemi causati da insufficienti pratiche di sicurezza del software.
Invece, si dovrebbe insegnare come gli aggressori possono manipolare e controllare un sistema basato su un codice non sicuro e, anche dopo la formazione, è necessario fornire agli sviluppatori un regolare aggiornamento. Questo perché gli sviluppatori devono comprendere le basi di come un’applicazione possa essere compromessa da vettori di attacco come SQL injection o command injection. È quindi essenziale che i moduli di formazione sul codice sicuro e sui principi di sicurezza applicativa diventino parte integrante di ogni corso di laurea in informatica, ma anche dei programmi di formazione continua. L’intelligenza artificiale generativa può aiutare ad accelerare la curva di apprendimento della prossima generazione di sviluppatori e a far sì che sia più consapevole di quanto la sicurezza nella creazione del software sia in realtà importante.
A cura di Massimo Tripodi, Country Manager di Veracode Italia