Veracode, proveedor líder mundial de soluciones modernas en pruebas de seguridad para aplicaciones, ha revelado hoy datos que podrían ahorrar tiempo y dinero a las empresas al ayudar a los desarrolladores a minimizar la introducción y acumulación de fallos de seguridad en su software. El informe sobre el estado de la seguridad del software 2023 de Veracode desveló que la acumulación de fallos a lo largo del tiempo es tal que casi el 32 % de las aplicaciones presenta fallos en el primer escaneo y, cuando llevan cinco años en producción, casi el 70 % contiene al menos un fallo de seguridad. Veracode lleva publicando su informe anual desde 2010, en el que resume los hallazgos claves de su variada base de clientes.
Como el coste medio de una filtración de datos ronda los 4,35 millones de dólares*, los equipos deben dar prioridad a su reparación en las primeras fases del ciclo de vida de desarrollo del software con el fin de minimizar el riesgo causado por la acumulación de fallos. Chris Eng, responsable de la investigación de Veracode, afirmó: «como en todos nuestros estudios, nuestro objetivo es ofrecer ideas que los desarrolladores puedan poner en práctica de inmediato. De las conclusiones de este año se desprenden dos consideraciones importantes: cómo reducir la probabilidad de que se introduzcan fallos en primer lugar, y cómo reducir el número de los que se introducen. Aparte de los controles técnicos de acceso, las prácticas de codificación segura son absolutamente fundamentales para la ciberseguridad en 2023 y más adelante».
No hay correlación directa entre el crecimiento de la aplicación y la introducción de fallos
Tras el escaneo inicial, las aplicaciones entran rápidamente en un «periodo de luna de miel» de estabilidad, y casi el 80 % no presenta ningún fallo nuevo durante el primer año y medio. Sin embargo, a partir de ese momento, el número de nuevos fallos introducidos empieza a aumentar de nuevo hasta alcanzar aproximadamente el 35 % al cabo de cinco años.
El estudio descubrió que la formación de los desarrolladores, el uso de múltiples tipos de escaneo, incluido el escaneo a través de API, y la frecuencia de escaneo son factores que influyen a la hora de reducir la probabilidad de introducción de fallos, lo que indica que los equipos deberían convertirlos en componentes claves de sus programas de seguridad de software. Por ejemplo, que pasen meses entre los escaneos se correlaciona con una mayor probabilidad de que se encuentren fallos cuando finalmente se realiza uno. Además, los principales fallos de las aplicaciones varían en función del tipo de prueba, lo que evidencia la importancia de utilizar varios tipos de escaneos para garantizar que no se pasen por alto fallos difíciles de identificar.
La fragilidad del código abierto
Habiendo prestado especial atención a la lista de materiales de software durante el año pasado, el equipo de investigación de Veracode también examinó 30 000 repositorios de código abierto alojados públicamente en GitHub. Curiosamente, en el 10 % de los repositorios no se había hecho ningún commit (cambio en el código fuente) en casi seis años. Eng declaró que «una solución de análisis de la composición del software (SCA) que aproveche múltiples fuentes de fallos, más allá de la Base de Datos de Vulnerabilidades Nacional, avisará con antelación a los equipos cuando se revele una vulnerabilidad y les permitirá adoptar medidas de protección con mayor rapidez, con suerte antes de que comience la explotación». Asimismo, se recomienda establecer políticas organizativas en torno a la detección y gestión de vulnerabilidades, y considerar formas de reducir las dependencias de terceros».
Más vale prevenir que curar: pasos hacia el éxito
La investigación de Veracode revela los pasos claves que deben dar los equipos de seguridad y desarrollo:
- Afrontar la deuda técnica o de seguridad lo antes y lo más rápidamente posible. La curva de corrección debe caer antes y más velozmente, porque una aplicación habrá acumulado muchos fallos cuando cumpla dos años. Ya sea por la creciente complejidad derivada de años de crecimiento constante o por la menor atención prestada al desarrollo de aplicaciones, esta tendencia continúa al alza, lo que significa que existe un 90 % de probabilidades de que una aplicación contenga al menos un fallo al cabo de 10 años. El escaneo frecuente con varias herramientas ayuda a encontrar y corregir fallos que pueden haberse introducido o acumulado con el tiempo.
- Dar prioridad a la automatización y a la formación en seguridad de los desarrolladores para que comprendan qué vulnerabilidades se introducen con mayor probabilidad, así como las técnicas para evitar por completo la introducción de fallos. En general, los datos muestran una probabilidad del 27 % de que se introduzcan nuevos fallos en una aplicación en un mes cualquiera. Las empresas que escanean a través de API reducen esta probabilidad al 25 %. Las que completaron 10 Security Labs —una plataforma de formación que ofrece experiencia práctica en detección y corrección de vulnerabilidades— también redujeron en un 1,8 % la probabilidad de introducción de fallos en un mes cualquiera.
- Establecer un protocolo de gestión del ciclo de vida de las aplicaciones que incorpore la gestión de cambios, la asignación de recursos y los controles organizativos. Investigar cómo son las fases de compatibilidad y control de calidad en su empresa. Inicialmente se planteó la obsolescencia programada de algunas aplicaciones y una revisión de los procesos y las medidas de control de calidad implicados en la ingeniería continua de los productos.
Jay Jacobs, cofundador y científico de datos de The Cyentia Institute, con quien Veracode elaboró el informe, concluyó: «con el informe sobre el estado del software de Veracode, resulta fascinante examinar la acumulación de fallos y su comportamiento aprovechando casi dos décadas de datos. La amplitud y profundidad de los datos no solo nos permite identificar las mejores prácticas, sino también algunos de los factores más sutiles que es preciso abordar al comienzo del proceso de desarrollo para minimizar el riesgo más adelante».
El estudio sobre el estado de la seguridad del software 2023 de Veracode analizó más de tres cuartos de un millón de aplicaciones de proveedores de software comercial, subcontratistas de software y proyectos de código abierto. Puede descargarse el informe completo aquí.
* IBM Security y The Ponemon Institute, «Cost of a Data Breach Report 2022», julio de 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ
Acerca del informe sobre el estado de la seguridad del software
El informe sobre el estado de la seguridad del software 2023 de Veracode analizó datos de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. El informe contiene los resultados de más de tres cuartos de millón (759 445) de aplicaciones que utilizaron todos los tipos de escaneo, más de un millón (1 262 147) de escaneos dinámicos, más de siete millones (7 522 989) de escaneos estáticos y más de 18 millones (18 473 203) de escaneos de análisis de composición de software. Todos esos escaneos produjeron 86 millones de resultados estáticos brutos, 3,7 millones de resultados dinámicos brutos y 8,5 millones de resultados de análisis de composición de software brutos.
Acerca de Veracode
Veracode es socio líder de AppSec para crear software seguro, reducir el riesgo de infracción de la seguridad, y aumentar la productividad de los equipos de seguridad y desarrollo. Por consiguiente, las empresas que utilizan Veracode hacen avanzar su negocio y el mundo. Gracias a su combinación de automatización de procesos, integraciones, velocidad y capacidad de respuesta, Veracode ayuda a las empresas a obtener resultados precisos y fiables para que puedan centrarse en solucionar, no solamente en encontrar, posibles vulnerabilidades. Más información en www.veracode.com, en el blog Veracode, en LinkedIn y en Twitter.
Copyright © 2023 Veracode, Inc. Todos los derechos reservados. Veracode es una marca comercial registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas o logotipos pertenecen a sus respectivos titulares. Todas las demás marcas comerciales citadas en este comunicado pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20230111005144/es/