BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, fornitore globale leader nelle soluzioni dei test per la sicurezza delle applicazioni, oggi ha rivelato che il comparto manifatturiero presenta il minor numero di falle di sicurezza nel software, scalzando così i servizi finanziari, che figuravano al vertice lo scorso anno. Questi dati sono illustrati in State of Software Security (SoSS) report v12, il documento che l’azienda pubblica a cadenza annuale. Per il report di quest’anno sono state analizzate 20 milioni di scansioni relative a mezzo milione di applicazioni nei settori manifatturiero, sanitario, dei servizi finanziari, tecnologico, governativo e della vendita al dettaglio.
Nel 2021, mentre il settore deve affrontare l’aumento della pressione e della domanda sulla supply chain, quello manifatturiero è risultato il comparto maggiormente preso di mira dai criminali informatici, con lo sfruttamento delle vulnerabilità identificato come principale vettore degli attacchi iniziali*. La protezione della supply chain del software, quindi, ha la massima priorità da quando normative come la direttiva presidenziale sulla sicurezza informatica negli Stati Uniti e la legge sulla resilienza informatica nell’Unione europea hanno puntato i riflettori su questo problema.
Chris Eng, Chief Research Officer presso Veracode, ha affermato: “In un contesto in cui le aziende manifatturiere continuano a fare della sicurezza del software una priorità, è incoraggiante osservare la diminuzione delle falle nell’ultimo anno, soprattutto perché le innovazioni tecnologiche hanno portato a una maggiore adozione di nuove piattaforme e ambienti. Lo scorso anno abbiamo riscontrato delle falle nel 76% delle app manifatturiere, con il 21% considerato ‘estremamente grave’. Queste cifre sono calate nettamente”.
Le falle di sicurezza nell’open source permangono più a lungo
Nonostante i risultati positivi in termini di prevalenza delle falle, la ricerca di Veracode ha rivelato che il manifatturiero, insieme alla sanità e al settore tecnologico, presenta la percentuale più bassa di falle corrette dopo la loro individuazione. Più allarmante ancora è il tempo richiesto per correggere tali problemi: le industrie manifatturiere registrano tempistiche tra le più lente in termini di falle rilevata dall’analisi statica (SAST), dall’analisi dinamica (DAST) e dall’analisi della composizione del software (SCA). Ad esempio, il 55% circa delle falle individuate grazie all’analisi statica resta irrisolto dopo un anno, e il comparto manifatturiero è costantemente in ritardo di quattro mesi rispetto alla media generale.
Le falle rilevate tramite analisi SCA nelle librerie di terzi restano irrisolte più a lungo in ogni settore, con il 30% delle librerie vulnerabili non corrette a distanza di due anni. Per quanto riguarda il manifatturiero, questa statistica sale a più del 40%, con un ritardo di oltre sei mesi rispetto alla media intersettoriale.
Il signor Eng ha commentato: “Questo potrebbe essere dovuto al fatto che un numero maggiore di applicazioni industriali specializzate presenta meno difetti, ma più difficili da correggere, rispetto ad altri settori. I risultati sottolineano la necessità, da parte dei produttori, di concentrarsi sull’affrontare le falle in modo tempestivo”.
Alcune falle sono più comuni di altre
La ricerca ha inoltre analizzato i tipi di falle nei linguaggi di programmazione utilizzati per le applicazioni del manifatturiero, come Java, .NET e JavaScript. La ricerca di Veracode ha esaminato i tipi di falle che riguardavano le applicazioni, scoprendo che la configurazione dei server, le dipendenze non sicure e le perdite di informazioni sono tra quelle più comuni rilevate in questa industria.
Eng ha concluso: “La sicurezza delle aziende e delle infrastrutture critiche dipende in larga misura dalla sicurezza della supply chain del software, che può essere ottenuta solo con la visibilità dei suoi componenti. L’integrazione della sicurezza nelle prime fasi del ciclo di vita dello sviluppo software e l’utilizzo di strumenti per generare una nomenclatura software (SBOM) garantiranno ai produttori di immettere sul mercato prodotti con meno vulnerabilità e, quindi, con meno rischi”.
Il riepilogo di Veracode State of Software Security v12 manufacturing è disponibile per il download qui, mentre la versione integrale è disponibile qui.
* IBM Security, “X-Force Threat Intelligence Index”, febbraio 2022
Informazioni sulla relazione State of Software Security
La relazione Veracode State of Software Security (SoSS) v12 ha analizzato i dati storici completi dei servizi e dei clienti di Veracode. Si tratta in totale di oltre mezzo milione di applicazioni (592.720) per cui sono stati utilizzati tutti i tipi di scansione, oltre un milione di scansioni analitiche dinamiche (1.034.855), oltre cinque milioni di scansioni analitiche statiche (5.137.882) e oltre 18 milioni di scansioni analitiche sulla composizione del software (18.473.203). Tutte queste scansioni hanno generato 42 milioni di risultati statici grezzi, 3,5 milioni di risultati dinamici grezzi e 6 milioni di risultati SCA grezzi.
I dati rappresentano aziende grandi e piccole, fornitori di software commerciali, fornitori esterni di software e progetti open-source. Nella maggior parte delle analisi, un’applicazione è stata contata una volta sola, anche se era stata inviata diverse volte per risolverne le vulnerabilità e ne erano state caricate nuove versioni.
Informazioni su Veracode
Veracode è un partner leader di AppSec per la creazione di software sicuro, la riduzione del rischio di violazioni della sicurezza e la maggior produttività dei team per la sicurezza e lo sviluppo. Le aziende che si affidano a Veracode, quindi, possono promuovere la propria attività e far progredire il mondo. Grazie alla combinazione di automazione dei processi, integrazioni, velocità e capacità di risposta, Veracode aiuta le aziende a ottenere risultati accurati e affidabili per concentrare i propri sforzi sulla correzione, non solo sull’individuazione, di potenziali vulnerabilità. Per ulteriori informazioni visitare il sito www.veracode.com, il blog di Veracode e Twitter.
Copyright © 2022 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio depositato di Veracode, Inc. negli Stati Uniti e può essere depositato anche in altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o sigle appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.
Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l’unico giuridicamente valido.
Contacts
Katy Gwilliam