CA Veracode, azienda di CA Technologies (NASDAQ: CA) con una offerta leader nell’ambito della sicurezza delle applicazioni, ha pubblicato oggi il nuovo report State of Software Security (SOSS). Lo studio mostra segnali promettenti per il futuro del DevSecOps, che starebbe favorendo un maggior livello di sicurezza ed efficienza. Il report offre inoltre una valutazione sulla persistenza dei difetti nel software dal momento in cui sono rilevati fino a quando vengono corretti.
Lo stato di sicurezza del software sta migliorando
In ogni settore industriale le organizzazioni hanno a che fare con un enorme volume di problemi aperti da risolvere, ma si registrano miglioramenti nell’azione intrapresa per farlo. Secondo il nuovo report State of Software Security, il 69% dei difetti rilevati è stato risolto mediante correzione o attenuazione, il che equivale a un aumento di quasi il 12% rispetto ai dati dell’edizione precedente. È evidente, quindi, che le organizzazioni stanno migliorando la capacità di correggere le vulnerabilità appena rilevate, che gli hacker spesso cercano di sfruttare.
Nonostante questo progresso, il nuovo report segnala anche che il numero di applicazioni vulnerabili rimane incredibilmente elevato, e che i componenti open source presentano ancora rischi significativi per le aziende. Oltre l’85% di tutte le applicazioni contiene infatti almeno una vulnerabilità dopo la prima scansione, e più del 13% presenta almeno un difetto molto grave. Inoltre, gli ultimi risultati delle scansioni eseguite dalle organizzazioni indicano che un’applicazione su tre si rivela vulnerabile agli attacchi a causa di difetti gravi o molto gravi.
Da un esame dei tassi di correzione su 2 trilioni di righe di codice è emersa la forte esposizione delle aziende al rischio rappresentato dalle applicazioni i cui difetti non vengono eliminati nei tempi dovuti:
Oltre il 70% di tutti i difetti è ancora presente un mese dopo la scoperta e quasi il 55% è rimasto tale tre mesi dopo la rilevazione
Il 25% dei difetti di gravità elevata e molto elevata non è stato risolto entro 290 giorni da quando è stato riscontrato
Complessivamente, il 25% dei difetti è stato risolto entro 21 giorni, mentre l’ultimo 25% risultava ancora aperto ben più di un anno dopo
“Le organizzazioni attente alla sicurezza hanno compreso che integrare la progettazione e i test di sicurezza direttamente nel ciclo di delivery continua del software è essenziale per raggiungere i principi DevSecOps di equilibrio in termini di velocità, flessibilità e gestione dei rischi. Finora è stato difficile individuare i vantaggi di questo approccio, ma il nuovo report sulla sicurezza del software fornisce prove concrete del fatto che le organizzazioni che eseguono le scansioni più frequentemente sono in grado di risolvere i difetti più rapidamente”, ha dichiarato Chris Eng, Vice President of Research di CA Veracode. “Questi miglioramenti incrementali nel tempo si traducono in un vantaggio significativo in termini di competitività sul mercato e in un considerevole calo dei rischi associati alle vulnerabilità”.
I dati supportano le pratiche DevSecOps
L’analisi SOSS, che per il terzo anno consecutivo rileva l’adozione delle pratiche DevSecOps, mostra una forte correlazione tra il tasso di scansione della sicurezza delle applicazioni e i rischi a lungo termine: più il tasso è elevato, minori risultano i rischi. Emergono evidenze significative dell’efficacia di DevSecOps. I dati di CA Veracode sulla persistenza dei difetti indicano che le aziende che adottano pratiche e programmi DevSecOps consolidati riescono a risolvere i difetti molto più rapidamente delle altre. I programmi DevSecOps più efficaci sono in grado di correggere i difetti 11 volte più velocemente grazie ai controlli di sicurezza costanti durante i continui rilasci del software, in gran parte il risultato di una maggiore frequenza di scansione del codice. I dati mostrano una correlazione molto forte tra il numero di volte in cui un’organizzazione esegue la scansione in un anno e la rapidità con cui vengono risolte le vulnerabilità.
I componenti open source continuano a ostacolare le imprese
Nei report precedenti i dati hanno indicato che i componenti software open source vulnerabili sono estremamente diffusi nella maggior parte dei software. Il nuovo report ha rilevato che la maggior parte delle applicazioni presenta ancora molti componenti difettosi, nonostante siano stati registrati alcuni miglioramenti sul fronte Java. Mentre lo scorso anno circa l’88% delle applicazioni Java mostrava almeno una vulnerabilità in un componente, da questo report risulta che tale percentuale è scesa al 77%. Man mano che le organizzazioni si trovano ad affrontare componenti con molti bug, dovrebbero prendere in considerazione non solo i difetti aperti all’interno di librerie e framework, ma anche il modo in cui tali componenti vengono utilizzati. Conoscendo non solo lo stato del componente, ma anche l’eventuale impiego di un metodo vulnerabile, le organizzazioni possono individuare il rischio insito nei componenti e stabilire la priorità delle correzioni in base agli utilizzi più rischiosi dei componenti.
Differenze nella persistenza dei difetti tra aree geografiche
Mentre i dati delle organizzazioni statunitensi sono predominanti rispetto alla dimensione del campione, il report di quest’anno offre informazioni approfondite sulle differenze per regione in merito alla rapidità con cui le vulnerabilità vengono affrontate. Le aziende dell’area Asia Pacifico (APAC) sono le più veloci a trovare rimedi, risolvendo il 25% dei difetti in circa 8 giorni; seguono le aziende americane con 22 giorni e quelle di Europa e Medio Oriente (EMEA) con 28 giorni. Tuttavia, le aziende degli Stati Uniti e degli altri stati americani mostrano la capacità di risolvere il 75% dei difetti in 413 giorni, risultato di gran lunga migliore rispetto a quello delle regioni APAC ed EMEA. In effetti, per le organizzazioni EMEA è stato necessario più del doppio del tempo medio per risolvere i tre quarti delle vulnerabilità aperte. Dall’analisi emerge che le aziende EMEA sono rimaste significativamente indietro rispetto alla media ad ogni scadenza degli intervalli di persistenza dei difetti. È un dato preoccupante che il 25% delle vulnerabilità riscontrate dalle organizzazioni EMEA sia rimasto irrisolto per oltre due anni e mezzo dal momento della rilevazione.
Il report SOSS di CA Veracode può essere scaricato qui.
Il report SOSS (State of Software Security)
Questa è la nona versione del report SOSS (State of Software Security) di CA Veracode, che rappresenta una valutazione completa dei dati dei test sulla sicurezza delle applicazioni relativi a oltre 2 trilioni di righe di codice, condotti dalla base di 2. 000 clienti di CA Veracode. Si tratta della serie più completa di benchmark sulla sicurezza delle applicazioni dell’intero settore. Il report ha preso in esame variabili quali il tipo di difetto, la gravità, la criticità dell’applicazione, il tasso di impatto della scansione sulla rapidità di correzione e la persistenza dei difetti dopo la scoperta. Per questa iterazione CA Veracode ha collaborato con data scientist del Cyentia Institute allo scopo di raffigurare e comprendere meglio il criterio di correzione delle vulnerabilità.
Metodologia
La metodologia adottata da CA Veracode per l’analisi dei dati utilizza i dati statistici di una finestra campione di 12 mesi. I dati rappresentano oltre 700. 000 valutazioni delle applicazioni sottoposte ad analisi durante il periodo di 12 mesi compreso tra il 1 aprile 2017 e il 31 marzo 2018. I dati si riferiscono ad aziende di grandi e piccole dimensioni, fornitori di software commerciali, progetti open source e fornitori (outsourcer) di software. Nella maggior parte delle analisi le applicazioni vengono conteggiate una sola volta, anche se presentate più volte man mano che le vulnerabilità sono state risolte e sono state caricate nuove versioni.
Il report contiene risultati su applicazioni che sono state sottoposte ad analisi statiche, analisi dinamiche, analisi della composizione del software e/o test di penetrazione manuale attraverso la piattaforma basata su cloud di CA Veracode. Il report prende in considerazione i dati forniti dai clienti di CA Veracode (informazioni sul portfolio di applicazioni quali livello di garanzia, settore industriale, origine dell’applicazione) e informazioni che sono state calcolate o ricavate nel corso dell’analisi di CA Veracode (dimensioni dell’applicazione, compilatore e piattaforma dell’applicazione, tipi di vulnerabilità e livello CA Veracode – policy di sicurezza predefinite basate sulle definizioni NIST dei livelli di garanzia).
