Los avances en seguridad de software muestran progreso a pesar de los desafíos, según revela el informe de Veracode

La seguridad del software ha avanzado significativamente a lo largo de los años, como se destaca en el reciente informe Estado de la seguridad del software de Veracode. Aunque persisten los desafíos, las aplicaciones en promedio nunca han sido más seguras, lo que proporciona un optimismo muy necesario en medio de las ciberamenazas globales.

A pesar del progreso, el informe enfatiza las consecuencias que sacudirán el mundo que podrían resultar de un solo efecto dominó de vulnerabilidad. Un buen ejemplo es el ataque global de SolarWinds, que dejó expuestas a empresas como Microsoft, Cisco, FireEye e Intel debido a la explotación de código malicioso en su software Orion. Las agencias gubernamentales y las instituciones de renombre no fueron la excepción a este incumplimiento.

Para contrarrestar tales vulnerabilidades, la administración Biden emitió una orden ejecutiva el 12 de mayo de 2021, introduciendo nuevas medidas destinadas a reforzar la ciberseguridad nacional. En su 12º informe anual, Veracode tiene como objetivo ayudar a los líderes a abordar la seguridad del software, reducir el riesgo y cumplir con estas nuevas regulaciones.

El informe revela una tendencia de la industria hacia el cambio a aplicaciones o microservicios en un solo idioma. En 2018, alrededor del 20 por ciento de las aplicaciones utilizaban varios idiomas, cayendo a menos del 5 por ciento en 2021. Las sólidas prácticas de prueba continuas llevaron a que el 90 por ciento de las aplicaciones se escanearan varias veces por semana, significativamente más frecuentes que las pocas exploraciones por año en 2010.

Las bibliotecas de terceros se han vuelto menos vulnerables a lo largo de los años. En 2017, el 35 % de las bibliotecas contenían una falla conocida, que se redujo al 10 % para 2021. Se han logrado grandes avances en la cantidad de tiempo que lleva corregir estas vulnerabilidades de terceros, lo que indica que se puede mejorar.

Por ejemplo, en 2017, alcanzando el punto medio en la resolución de fallas requerida durante tres años; para 2021, tomó poco más de un año. Sin embargo, incluso con estas ganancias, un alarmante 77 por ciento de las fallas permanecieron sin resolver después de tres meses.

Al aplicar el análisis de composición de software (SCA), los investigadores descubrieron que el 97 por ciento de las aplicaciones de Java se basan en bibliotecas de código abierto, lo que mantiene la amenaza de vulnerabilidades de software a gran escala durante períodos prolongados.

Con respecto al uso de código de terceros en varios lenguajes, Java parece ser el que más depende del código de terceros. Por el contrario, el uso de código de terceros por parte de .NET aumentó de un porcentaje de un solo dígito a más del 50 por ciento en 2020, coincidiendo con el lanzamiento de .NET 5.

JavaScript y Python muestran patrones inconsistentes, con un software que comprende predominantemente código interno o de terceros, mientras que PHP y C++ siguen enfocados en código de cosecha propia. El informe sugiere que los desarrolladores tienden a confiar en bibliotecas probadas y verdaderas en lugar de refactorizar sus bases de código para alternativas más nuevas y modernas.

Además, el estudio de Veracode investiga si los lenguajes específicos son más propensos a bibliotecas defectuosas y evalúa el progreso en la reducción de vulnerabilidades a lo largo del tiempo. Las bibliotecas de Java tuvieron la mayor cantidad promedio de fallas con un 12,5 por ciento, seguidas de cerca por Ruby con aproximadamente un 10 por ciento y Python con alrededor de un 5 por ciento. La prevalencia más baja de bibliotecas vulnerables se encontró en PHP, JavaScript y .NET, cada una con un promedio de aproximadamente el 3 por ciento.

Se observó un progreso significativo en las bibliotecas de Java, JavaScript y Python. Desde 2017, las bibliotecas de Java redujeron las tasas de vulnerabilidad de alrededor del 25 por ciento, Python del 20 por ciento y JavaScript del 10 por ciento.

El escaneo dinámico combinado con el análisis estático mejoró las tasas de remediación en un 50 por ciento y aceleró el proceso en un promedio de 24 días. La incorporación de SCA a la mezcla acortó aún más el plazo en seis días más.

El desarrollo de software estadounidense experimenta un máximo histórico en seguridad, a pesar del reciente aumento de ataques de alto perfil que atraen la atención nacional. El informe de Veracode reconoce que aún queda trabajo por hacer, pero la seguridad del software va por buen camino. El uso de plataformas no-code como AppMaster brinda una capa adicional de seguridad, gracias a su naturaleza inherente de bajo riesgo, actualizaciones automáticas y monitoreo de cumplimiento. Con los continuos esfuerzos para abordar los riesgos de seguridad del software, el futuro parece prometedor.