Veracode, proveedor líder mundial de soluciones modernas de pruebas de seguridad de aplicaciones, ha revelado hoy que el 24 por ciento de las aplicaciones del sector tecnológico contienen fallos de seguridad que se consideran de alto riesgo, lo que significa que causarían un problema crítico para la aplicación si se aprovecharan. Posiblemente con una mayor proporción de aplicaciones a las que hacer frente que otras industrias, las empresas tecnológicas se beneficiarían de la implementación de una mejor formación y prácticas de codificación segura para sus equipos de desarrollo.
Chris Eng, director de investigación de Veracode, afirma: «Ofrecer a los desarrolladores una experiencia real y práctica de lo que supone detectar y explotar un fallo en el código -y su posible impacto en la aplicación- les proporciona el contexto y la comprensión necesarios para desarrollar su intuición sobre la seguridad del software. Nuestro estudio descubrió que las organizaciones cuyos desarrolladores habían completado una sola lección de nuestro programa de formación práctica Security Labs corregían el 50 por ciento de los fallos dos meses antes que las que no habían recibido dicha formación», añade.
Los datos se publicaron en el informe sobre el estado de la seguridad del software (SoSS) v12 de Veracode, que analizó 20 millones de escaneos en medio millón de aplicaciones de los sectores tecnológico, minorista, manufacturero, sanitario, de servicios financieros y gubernamental. En conjunto, el sector tecnológico es el segundo con mayor proporción de aplicaciones con fallos de seguridad, con un 79 %, superando ligeramente al sector público, con un 82 %. En cuanto a la proporción de fallos corregidos, el sector tecnológico se sitúa en la mitad del grupo.
Las empresas tecnológicas corrigen con relativa rapidez los fallos de seguridad del software
Resulta alentador que, cuando las empresas tecnológicas descubren vulnerabilidades en sus aplicaciones, alcanzan el punto medio del proceso de corrección con relativa rapidez. Cuentan con algunos de los mejores plazos de reparación del sector para las vulnerabilidades detectadas mediante pruebas de análisis estático de seguridad (SAST) y análisis de composición de software (SCA). Aunque estos esfuerzos son encomiables, el sector aún necesita 363 días para solucionar el 50% de las vulnerabilidades, por lo que aún queda mucho por hacer.
Chris Eng añadió: «El descubrimiento de un fallo en Log4j el pasado diciembre hizo saltar las alarmas en muchas organizaciones. A esto siguieron medidas gubernamentales en forma de directrices de la Oficina de Gestión y Presupuesto (OMB) y el Reglamento de la UE sobre ciberresiliencia, ambos centrados en la cadena de suministro. Para mejorar el rendimiento durante el próximo año, las empresas tecnológicas no solo deben desarrollar estrategias que ayuden a los desarrolladores a reducir la tasa de fallos introducidos en el código, sino también aumentar la automatización de las pruebas de seguridad de la canalización CI/CD (integración continua/entrega continua) para mejorar la eficiencia».
La configuración del servidor, las dependencias inseguras y la fuga de información son los tipos más comunes de vulnerabilidades identificadas por el análisis dinámico de las aplicaciones tecnológicas: un patrón ampliamente similar al de otros sectores. Por el contrario, el sector difiere significativamente de la media de la industria en cuanto a cuestiones criptográficas y fuga de información, lo que quizá indique que los desarrolladores de la industria tecnológica son más conscientes de los retos que plantea la protección de datos.
Puede descargarse un resumen del informe sobre el estado de la seguridad del softwarev12 de Veracode aquí y el informe completo está disponible aquí.
Acerca del informe sobre el estado de la seguridad del software
El informe sobre el estado de la seguridad del software (SoSS) v12 de Veracode analizó los datos históricos completos de los servicios y clientes de Veracode. Esto representa más de medio millón de aplicaciones (592 720) que empleaban todos los tipos de análisis, más de un millón de análisis dinámicos (1 034 855), más de cinco millones de análisis estáticos (5 137 882) y más de 18 millones de análisis de composición de software (18 473 203). Con todos estos análisis se obtuvieron 42 millones de resultados estáticos en bruto, 3,5 millones de resultados dinámicos en bruto y seis millones de resultados de SCA en bruto.
Los datos incluyen empresas grandes y pequeñas, proveedores comerciales de software, subcontratistas de software y proyectos de código abierto. En la mayoría de los análisis, cada aplicación se incluyó una sola vez, aunque se presentase varias veces conforme se solucionaban vulnerabilidades y se cargaban versiones nuevas.
Acerca de Veracode
Veracode es un importante socio de seguridad de aplicaciones para la creación de software seguro, reducir el riesgo de fallos de seguridad y aumentar la seguridad y la productividad de los equipos de desarrollo. Por tanto, las empresas que trabajan con Veracode pueden hacer avanzar su negocio y el mundo. Con su combinación de automatización de procesos, integraciones, velocidad y capacidad de respuesta, Veracode ayuda a las empresas a obtener resultados precisos y fiables para centrar sus esfuerzos en solucionar las posibles vulnerabilidades y no solo en encontrarlas. Más información en www.veracode.com, en el blog de Veracode y en Twitter.