Veracode, un proveedor líder de soluciones de prueba de seguridad de aplicaciones modernas a nivel global, ha revelado que el 24% de las aplicaciones del sector tecnológico contienen fallas de seguridad consideradas de alto riesgo, lo que significa que causarían un problema crítico para la aplicación si se explotan. Con una proporción posiblemente mayor de aplicaciones en comparación con otras industrias, las empresas tecnológicas se beneficiarían de la implementación de una formación y prácticas de codificación seguras mejoradas para sus equipos de desarrollo.
El director de investigación de Veracode, Chris Eng, dijo: “Proporcionar a los desarrolladores una experiencia real y práctica sobre lo que se necesita para detectar y explotar una falla en el código, y su posible impacto en la aplicación, brinda el contexto y la comprensión para construir su intuición sobre la seguridad del software. Nuestra investigación encontró que las organizaciones cuyos desarrolladores habían completado solo una lección en nuestro programa de formación práctica Security Labs arreglaron el 50% de las fallas dos meses más rápido que aquellas sin dicha formación”.
Los datos se publicaron en el informe anual de Veracode sobre el estado de la seguridad del software (SoSS) v12, que analizó 20 millones de escaneos en medio millón de aplicaciones en los sectores de tecnología, retail, manufactura, salud, servicios financieros y gobierno. En general, se descubrió que la industria tecnológica tiene la segunda proporción más alta de aplicaciones que contienen fallas de seguridad, con un 79%, lo que la hace ligeramente mejor que el sector público con un 82%. El sector tecnológico se encuentra en el medio del paquete cuando se trata de la proporción de fallas que se corrigen.
Las empresas tecnológicas son comparativamente rápidas para corregir fallas de seguridad del software
Afortunadamente, cuando las empresas tecnológicas descubren fallas en sus aplicaciones, son relativamente rápidas para llegar a la mitad del proceso de remedio. De hecho, el sector cuenta con tiempos de corrección líderes en la industria para fallas descubiertas mediante pruebas de seguridad de análisis estático (SAST) y análisis de composición de software (SCA). Si bien esto es un logro loable, la industria todavía tarda hasta 363 días en corregir el 50% de las fallas, lo que sugiere que todavía hay mucho margen de mejora.
Eng agregó: «Log4j provocó una llamada de atención para muchas organizaciones. Esto fue seguido por la acción gubernamental en forma de guía de la Oficina de Administración y Presupuesto (OMB) y la Ley de Resiliencia Cibernética Europea, ambos con un enfoque en la cadena de suministro. Para mejorar el rendimiento en el próximo año, las empresas de tecnología no solo deben considerar estrategias que ayuden a los desarrolladores a reducir la tasa de fallas introducidas en el código, sino también poner mayor énfasis en la automatización de pruebas de seguridad en el pipeline de Integración Continua/Entrega Continua (CI/CD) para aumentar la eficiencia».
La configuración del servidor, las dependencias inseguras y la fuga de información son los tipos más comunes de fallas descubiertas por el análisis dinámico de aplicaciones de tecnología, lo que sigue de cerca un patrón similar a otras industrias. Por el contrario, el sector presenta la mayor disparidad del promedio de la industria en problemas criptográficos y fuga de información, lo que quizás indique que los desarrolladores en la industria de la tecnología son más conocedores de los desafíos de protección de datos.