CA Veracode, azienda di CA Technologies specializzata nella sicurezza delle applicazioni, ha pubblicato oggi il nuovo report State of Software Security (SOSS), che mostra segnali promettenti per il futuro del DevSecOps grazie a un maggior livello di sicurezza ed efficienza. Il report offre inoltre una valutazione sulla persistenza dei difetti nel software dal momento in cui sono rilevati fino a quando vengono corretti.

In ogni settore industriale le organizzazioni hanno a che fare con un enorme volume di problemi aperti da risolvere, ma si registrano miglioramenti nell’azione intrapresa per farlo. Secondo il report il 69% dei difetti rilevati è stato risolto mediante correzione o attenuazione, il che equivale a un aumento di quasi il 12% rispetto ai dati dell’edizione precedente. È evidente, quindi, che le organizzazioni stanno migliorando la capacità di correggere le vulnerabilità appena rilevate, che gli hacker spesso cercano di sfruttare.

Nonostante questo progresso, il nuovo report segnala anche che il numero di applicazioni vulnerabili rimane incredibilmente elevato, e che i componenti open source presentano ancora rischi significativi per le aziende. Oltre l’85% di tutte le applicazioni contiene infatti almeno una vulnerabilità dopo la prima scansione, e più del 13% presenta almeno un difetto molto grave. Inoltre, gli ultimi risultati delle scansioni eseguite dalle organizzazioni indicano che un’applicazione su tre si rivela vulnerabile agli attacchi a causa di difetti gravi o molto gravi.

Da un esame dei tassi di correzione su 2 trilioni di righe di codice è emersa la forte esposizione delle aziende al rischio rappresentato dalle applicazioni i cui difetti non vengono eliminati nei tempi dovuti:

  • Oltre il 70% di tutti i difetti è ancora presente un mese dopo la scoperta e quasi il 55% è rimasto tale tre mesi dopo la rilevazione
  • Il 25% dei difetti di gravità elevata e molto elevata non è stato risolto entro 290 giorni da quando è stato riscontrato
  • Complessivamente, il 25% dei difetti è stato risolto entro 21 giorni, mentre l’ultimo 25% risultava ancora aperto ben più di un anno dopo

“Le organizzazioni attente alla sicurezza hanno compreso che integrare la progettazione e i test di sicurezza direttamente nel ciclo di delivery continua del software è essenziale per raggiungere i principi DevSecOps di equilibrio in termini di velocità, flessibilità e gestione dei rischi. Finora è stato difficile individuare i vantaggi di questo approccio, ma il nuovo report sulla sicurezza del software fornisce prove concrete del fatto che le organizzazioni che eseguono le scansioni più frequentemente sono in grado di risolvere i difetti più rapidamente”, ha dichiarato Chris Eng, Vice President of Research di CA Veracode. “Questi miglioramenti incrementali nel tempo si traducono in un vantaggio significativo in termini di competitività sul mercato e in un considerevole calo dei rischi associati alle vulnerabilità”.

DevSecOps

L’analisi SOSS, che per il terzo anno consecutivo rileva l’adozione delle pratiche DevSecOps, mostra inoltre una forte correlazione tra il tasso di scansione della sicurezza delle applicazioni e i rischi a lungo termine: più il tasso è elevato, minori risultano i rischi. Emergono evidenze significative dell’efficacia di DevSecOps. I dati di CA Veracode sulla persistenza dei difetti indicano che le aziende che adottano pratiche e programmi DevSecOps consolidati riescono a risolvere i difetti molto più rapidamente delle altre.

I programmi DevSecOps più efficaci sono in grado di correggere i difetti 11 volte più velocemente grazie ai controlli di sicurezza costanti durante i continui rilasci del software, in gran parte il risultato di una maggiore frequenza di scansione del codice. I dati mostrano una correlazione molto forte tra il numero di volte in cui un’organizzazione esegue la scansione in un anno e la rapidità con cui vengono risolte le vulnerabilità.

Nei report precedenti i dati hanno indicato che i componenti software open source vulnerabili sono estremamente diffusi nella maggior parte dei software. Il nuovo report ha rilevato che la maggior parte delle applicazioni presenta ancora molti componenti difettosi, nonostante siano stati registrati alcuni miglioramenti sul fronte Java. Mentre lo scorso anno circa l’88% delle applicazioni Java mostrava almeno una vulnerabilità in un componente, da questo report risulta che tale percentuale è scesa al 77%.

Man mano che le organizzazioni si trovano ad affrontare componenti con molti bug, dovrebbero prendere in considerazione non solo i difetti aperti all’interno di librerie e framework, ma anche il modo in cui tali componenti vengono utilizzati. Conoscendo non solo lo stato del componente, ma anche l’eventuale impiego di un metodo vulnerabile, le organizzazioni possono individuare il rischio insito nei componenti e stabilire la priorità delle correzioni in base agli utilizzi più rischiosi dei componenti.

Mentre i dati delle organizzazioni statunitensi sono predominanti rispetto alla dimensione del campione, il report di quest’anno offre informazioni approfondite sulle differenze per regione in merito alla rapidità con cui le vulnerabilità vengono affrontate. Le aziende dell’area Asia Pacifico (APAC) sono le più veloci a trovare rimedi, risolvendo il 25% dei difetti in circa 8 giorni; seguono le aziende americane con 22 giorni e quelle di Europa e Medio Oriente (EMEA) con 28 giorni.

Tuttavia, le aziende degli Stati Uniti e degli altri stati americani mostrano la capacità di risolvere il 75% dei difetti in 413 giorni, risultato di gran lunga migliore rispetto a quello delle regioni APAC ed EMEA. In effetti, per le organizzazioni EMEA è stato necessario più del doppio del tempo medio per risolvere i tre quarti delle vulnerabilità aperte. Dall’analisi emerge che le aziende EMEA sono rimaste significativamente indietro rispetto alla media ad ogni scadenza degli intervalli di persistenza dei difetti. È un dato preoccupante che il 25% delle vulnerabilità riscontrate dalle organizzazioni EMEA sia rimasto irrisolto per oltre due anni e mezzo dal momento della rilevazione.