≫ La deuda relacionada con la aplicación pesa en las empresas

Las empresas se están tomando cada vez más para corregir las vulnerabilidades de seguridad para su software. Consecuencia: la deuda de seguridad resultante se vuelve cada vez más crítica. Según el último informe Estado de seguridad de software Desde el editor de software Veracode, el tiempo de seguridad promedio para las vulnerabilidades de seguridad ha pasado de 171 a 252 días en los últimos cinco años.

Además, según este mismo estudio, el 50% de las organizaciones de hoy tienen una deuda de seguridad calificada de "alto riesgo", una acumulación de fallas dejadas abiertas por más de un año. La mayoría de estos provienen de códigos de terceros y la cadena de suministro de software, una fuente recurrente de riesgos importantes a pesar de la creciente atención.

Aunque la cifra del 50% de las empresas expuestas a la deuda de alto riesgo solo aumenta marginalmente en comparación con el 46% registrado durante la edición 2024 del estudio anual de Veracode, el resultado sigue siendo preocupante, porque la tendencia es mala. Chris Wysopal, co -fundador y principal evangelista de seguridad en Veracode, subraya especialmente uno de los aspectos de la seguridad de la aplicación que se ha deteriorado regularmente a lo largo de los años: el tiempo necesario para corregir las fallas. "Hay muchas razones para esto, pero el alcance y la complejidad de creciente creciente del ecosistema de software son una causa importante", dijo. Las organizaciones tienen más aplicaciones y mucho más código para dominar, y eso solo aumentará a medida que más y más equipos adopten IA para la generación de código. ». Sin mencionar el hecho de que la generación de código con IA podría en sí misma fortalecer los problemas de seguridad o crear otros nuevos, que esta práctica proviene de las partes internas o terceras cuya empresa depende.

Aplicar estrategias de reducción de riesgos

El estudio de Veracode revela marcadas diferencias en la forma en que las organizaciones administran esta deuda de seguridad, con diferencias significativas entre las mejores y menos eficientes. Según el editor, cinco medidas clave permiten evaluar la madurez de la seguridad y mejorar la capacidad de una organización para reducir sistemáticamente sus riesgos:

Prevalencia de fallas: Las organizaciones más eficientes tienen fallas en menos del 43% de las aplicaciones, una tasa que sube al 86% dentro de las organizaciones menos eficientes.
Capacidad de corrección: Los líderes resuelven más del 10% de los defectos por mes, mientras que los recién llegados lo corrigen menos del 1%.
Velocidad de corrección: Las empresas más eficientes corrigen la mitad de las fallas en cinco semanas; El menos eficiente puso más de un año para hacerlo.
Prevalencia de la deuda de seguridad: Menos del 17% de las aplicaciones de las organizaciones más avanzadas tienen una deuda de seguridad, en comparación con más del 67% entre los recién llegados.
Deuda en términos de software gratuito: Las organizaciones más eficientes mantienen una deuda crítica vinculada a un software libre en menos del 15%, mientras que el 100% de la deuda crítica está vinculada al software libre en las organizaciones menos avanzadas.

"La mayoría de las empresas sufren de visibilidad fragmentada en fallas y riesgos de software dentro de sus aplicaciones, con conjuntos de herramientas dispersas que crean una sensación de fatiga vinculada a la profusión de alertas al mismo tiempo que los silos de datos que deben interpretarse antes de tomar decisiones", subraya Chris Wysopal. Según él, una de las principales palancas para llenar la demora en términos de seguridad radica en la capacidad de priorizar la remediación de fallas de acuerdo con el riesgo que presentan.

El estudio VerAcode se basa en los resultados de alrededor de 1.3 millones de aplicaciones sujetas a una combinación de análisis estático, análisis dinámico, composición de la composición de las pruebas de software y/o penetración manual a través de la plataforma en la nube del editor. El software puesto a prueba provenía de compañías de todos los tamaños, y provino de editores, subcontratadores y proyectos de código abierto.

Riesgos de cadena suave de cadena de software

Con respecto a la deuda de seguridad vinculada al software libre, la compañía Black Duck, especializada en aplicaciones, indica que un análisis de 965 bases de código en 16 sectores de actividades reveló que el 86% de ellos contenía vulnerabilidades de software libre y que el 81% de ellos tenía vulnerabilidades de riesgo altas o críticas.

Se encontraron ocho de las diez vulnerabilidades principales de alto riesgo cubiertas por la seguridad de código abierto y el análisis de riesgos del pato negro en JQuery, una biblioteca JavaScript ampliamente utilizada. La falla de alto riesgo más frecuentemente identificada es CVE-2020-11023, una vulnerabilidad de XSS que afecta las versiones obsoletas de JQuery, pero aún está presente en un tercio del código de código analizado.

Los riesgos de las vulnerabilidades de los editores y los proyectos de código abierto pueden atenuarse analizando continuamente el código a lo largo del ciclo de vida del desarrollo de software, aconseja VerAcode. "El análisis de la composición de las aplicaciones (SCA para el análisis de composición de software) permite lograr este objetivo detectando y gestionando los riesgos vinculados a los componentes de software de tercera parte y de código abierto a través de un proceso automatizado, especifica Chris Wysopal. Se genera nomenciaciones de software (SBOM, para facturas de software de materiales), investiga las vulnerabilities, evalúa los riesgos y proporciona consejos de recursos de remediación» »».

Establezca un programa de reducción de la deuda

Según Veracode, al atacar la deuda de seguridad y, según las mejores prácticas, las empresas pueden mejorar su resiliencia, reducir los riesgos y cumplir con la evolución regulatoria en términos de ciberseguridad. El especialista en seguridad de aplicaciones ofrece una lista de factores para desarrollar una estrategia efectiva de reducción de la deuda:

Pruebas automatizadas: Integrar SAST (Análisis de seguridad del código estático), DAST (análisis dinámico), SCA (composición de aplicaciones) y otros marcos de prueba automatizados en la cadena CI/CD para detectar fallas temprano.
Políticas basadas en el riesgo: Concéntrese en fallas de explotación y severidad fácilmente, y aplique estricto no pagado en la producción.
Desarrolladores responsables: Entrene, designe campeones en términos de seguridad y considere las tareas de seguridad como un trabajo de desarrollador normal.
Cultura de responsabilidad: Siga las vulnerabilidades al mismo tiempo que los errores funcionales y corríjalos como aparecen.
Monitoreo de software gratuito: Mantenga un inventario claro de las bibliotecas de código abierto, actualice regularmente y automatice las verificaciones.
Disciplina : Si los recursos son útiles, una estrategia coherente y procesos sólidos son más importantes. Incluso los equipos pequeños, si están bien alineados y disciplinados, a menudo obtienen mejores resultados que los equipos pletóricos más enfocados en el tema.

Si quieres conocer otros artículos parecidos a La deuda relacionada con la aplicación pesa en las empresas puedes visitar la categoría Otros.