Due terzi delle aziende EMEA devono affrontare un debito di sicurezza, in quasi la metà dei casi con un rischio “critico”. L’80% del codice di terze parti ha un debito di sicurezza critico, un valore significativamente più alto rispetto alla media globale MILANO:
Veracode, leader mondiale nella gestione del rischio applicativo, ha presentato i risultati del proprio report annuale
State of Software Security (SoSS) 2024 per l’area EMEA, che porta alla luce preoccupanti livelli di debito di sicurezza all’interno delle aziende di questa regione (Europa, Medio Oriente, Africa). La ricerca ha rilevato che il 68% delle organizzazioni in EMEA presenta un qualche debito di sicurezza, mentre il 46% presenta falle persistenti ad alta gravità nel codice, classificate come debito di sicurezza “critico”. Quest’ultime rappresentano il rischio maggiore per le applicazioni e sono considerate come una bolla pronta a esplodere, con il rischio di violazioni catastrofiche. In un mondo in cui ogni interazione applicativa può diventare un potenziale punto di ingresso per i cybercriminali, comprendere e gestire il debito di sicurezza è più che mai cruciale. Quest’ultimo, definito all’interno del report come una falla del software non risolta per più di un anno, può accumularsi quando gli sviluppatori non hanno il tempo o le risorse per risolvere le vulnerabilità potenzialmente pericolose. Nel corso del tempo, queste falle si accumulano, rendendo le organizzazioni sempre più vulnerabili ai cybercriminali. “I risultati del report SoSS EMEA di quest’anno devono essere un campanello d’allarme per le aziende della regione EMEA, che dovrebbero concentrarsi sulla correzione dei debiti di sicurezza critici, che rappresentano il rischio più elevato”, spiega Massimo Tripodi, Country Manager Italia di Veracode. Gli sviluppatori che hanno il compito di individuare e correggere manualmente le falle spesso non riescono ad affrontare il crescente debito di sicurezza, a causa della lentezza delle tempistiche di correzione e della definizione delle priorità. L’analisi delle velocità di remediation nell’area EMEA ha rilevato che le organizzazioni che utilizzano metodi manuali impiegano in media 19 mesi per correggere le falle nel codice di terze parti, rispetto ai 9 mesi per quello di prima parte. Con un numero così elevato di vulnerabilità da risolvere, le aziende devono definire le priorità delle falle da correggere per prime, soprattutto quelle critiche. Per quanto riguarda le fonti di debito di sicurezza, il report evidenzia che l’84% del debito di sicurezza in generale deriva da codice di prima parte sviluppato internamente. Contemporaneamente, l’80% del debito di sicurezza critico deriva da codice di terze parti, che spesso passa inosservato ma che può essere altrettanto pericoloso per le organizzazioni dell’area EMEA. Il dato più significativo è che il debito di sicurezza critico è notevolmente più alto del 65% rispetto al tasso globale. Utilizzare l’intelligenza artificiale per correggere le vulnerabilità Sebbene generatori AI di codice siano sempre più utilizzati dagli sviluppatori per la creazione di software grazie alla loro velocità ed efficienza, non sempre producono dei risultati sicuri.
Una recente indagine ha infatti rilevato che il 36% del codice generato dallo strumento GitHub CoPilot, alimentato dall’intelligenza artificiale, conteneva falle di sicurezza. L’intelligenza artificiale può essere utilizzata anche per abbattere il debito di sicurezza, supportando gli sviluppatori e i team di sicurezza e riducendo drasticamente i tempi di correzione delle vulnerabilità. “Strumenti di remediation basati sull’AI possono far risparmiare ai team una quantità significativa di tempo, automatizzando le raccomandazioni di correzione e affrontando le falle su scala. Ad esempio, la nostra soluzione di correzione alimentata dall’intelligenza artificiale, Veracode Fix, ha ridotto i tempi di risoluzione delle vulnerabilità più comuni da giorni a minuti, migliorando in modo significativo la produttività degli sviluppatori”, aggiunge Massimo Tripodi. Mitigare il debito di sicurezza all’interno di un ambiente complesso Poiché tre quinti (60%) di tutte le falle nelle organizzazioni EMEA non sono considerate né debito di sicurezza né gravità critica, diventa più facile e gestibile per gli sviluppatori concentrarsi sulla correzione del 4% che rappresenta il rischio più elevato. Una volta risolte queste, le aziende possono affrontare i debiti di sicurezza non critici o le falle critiche più recenti, in base alla loro capacità e propensione al rischio. Per coloro che sono alla ricerca di una strategia di prioritizzazione del debito di sicurezza, gli strumenti di Application Security Posture Management (ASPM) sono in grado di monitorare costantemente il rischio attraverso la raccolta, l’analisi e la prioritizzazione dei problemi di sicurezza lungo l’intero ciclo di sviluppo del software. Gli strumenti ASPM si stanno diffondendo in modo importante grazie alla loro capacità di fornire una panoramica completa e unificata dei rischi a livello di stack applicativo, semplificandone la risoluzione.
Longbow, basato sulla tecnologia di Veracode, offre un approccio ASPM che, attraverso l'analisi contestuale, identifica la causa principale dei problemi e suggerisce le azioni più efficaci per mitigarli con il minimo sforzo. “La prevalenza del debito di sicurezza tra le organizzazioni EMEA evidenzia la necessità di un’azione immediata per proteggere le aziende da future violazioni. I responsabili della sicurezza e gli sviluppatori dovrebbero concentrarsi sulla correzione delle falle più critiche che rappresentano il rischio maggiore in funzione del contesto in cui si trovano. Le soluzioni di sicurezza basate sull’intelligenza artificiale che scalano gli sforzi di correzione consentiranno ai team di affrontare il crescente debito di sicurezza in modo più efficiente e di ridurre il tempo necessario per sfruttare le vulnerabilità”, conclude poi Massimo Tripodi. La versione EMEA del report SoSS è disponibile per il download sul
sito web di Veracode. Per accedere al report completo State of Software Security 2024 e approfondire i risultati e le raccomandazioni, è possibile visitare il
sito web. Veracode Veracode è leader mondiale nella gestione del rischio applicativo nell’era dell’intelligenza artificiale. Alimentata da trilioni di linee di scansioni di codice e da un motore di remediation proprietario assistito da intelligenza artificiale, la piattaforma Veracode ha la fiducia di aziende di tutto il mondo per costruire e mantenere il software sicuro, dalla creazione del codice alla distribuzione nel cloud. Migliaia di team di sviluppo e sicurezza leader a livello mondiale utilizzano Veracode ogni secondo, ogni giorno, per ottenere visibilità accurata e fattibile del rischio di exploit, correzione delle vulnerabilità in tempo reale e per ridurre il debito di sicurezza su scala. Veracode è un’azienda pluripremiata che offre funzionalità per la sicurezza dell’intero ciclo di vita dello sviluppo del software, tra cui Veracode Fix, analisi statica, analisi dinamica, analisi della composizione del software, sicurezza dei container, gestione della postura di sicurezza delle applicazioni e penetration test. Per saperne di più, visitate il sito
www.veracode.com, il
blog di Veracode,
LinkedIn e
X. Copyright © 2024 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio registrato di Veracode, Inc. negli Stati Uniti e può essere registrato in alcune altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o loghi appartengono ai rispettivi proprietari. Tutti gli altri marchi citati nel presente documento appartengono ai rispettivi proprietari. Fonte:
Business Wire