I progressi nella sicurezza del software mostrano progressi nonostante le sfide, rivela il rapporto Veracode

La sicurezza del software è progredita in modo significativo nel corso degli anni, come evidenziato nel recente rapporto sullo stato della sicurezza del software di Veracode. Sebbene le sfide permangano, le applicazioni in media non sono mai state più sicure, fornendo un certo ottimismo tanto necessario tra le minacce informatiche globali.

Nonostante i progressi, il rapporto sottolinea le conseguenze sconvolgenti che potrebbero derivare da un singolo effetto a catena di vulnerabilità. Un ottimo esempio è l'attacco globale SolarWinds, che ha lasciato esposte aziende come Microsoft, Cisco, FireEye e Intel a causa dello sfruttamento di codice dannoso nel loro software Orion. Le agenzie governative e le istituzioni rinomate non hanno fatto eccezione a questa violazione.

Per contrastare tali vulnerabilità, l'amministrazione Biden ha emesso un ordine esecutivo il 12 maggio 2021, introducendo nuove misure volte a rafforzare la sicurezza informatica nazionale. Nella sua dodicesima relazione annuale, Veracode mira ad assistere i leader nell'affrontare la sicurezza del software, ridurre i rischi e conformarsi a queste nuove normative.

Il rapporto rivela una tendenza del settore verso il passaggio ad app o microservizi monolingua. Nel 2018, circa il 20% delle app utilizzava più lingue, scendendo a meno del 5% nel 2021. Solide pratiche di test continui hanno portato il 90% delle app a essere scansionate più volte alla settimana, significativamente più frequenti rispetto alle poche scansioni all'anno nel 2010.

Le biblioteche di terze parti sono diventate meno vulnerabili nel corso degli anni. Nel 2017, il 35% delle biblioteche conteneva un difetto noto, che è stato ridotto al 10% entro il 2021. Sono stati fatti grandi passi avanti nella quantità di tempo necessaria per correggere queste vulnerabilità di terze parti, indicando margini di miglioramento.

Ad esempio, nel 2017, raggiungere la metà della risoluzione dei difetti richiesta in tre anni; entro il 2021, ci è voluto poco più di un anno. Eppure, nonostante questi miglioramenti, dopo tre mesi un allarmante 77% dei difetti è rimasto irrisolto.

Applicando l'analisi della composizione del software (SCA), i ricercatori hanno scoperto che il 97% delle app Java si basa su librerie open source, mantenendo la minaccia di vulnerabilità del software su larga scala per periodi prolungati.

Per quanto riguarda l'utilizzo del codice di terze parti in vari linguaggi, Java sembra essere il più dipendente dal codice di terze parti. Al contrario, l'uso di codice di terze parti da parte di .NET è passato da una percentuale a una cifra a oltre il 50% nel 2020, in concomitanza con il rilascio di .NET 5.

JavaScript e Python mostrano schemi incoerenti, con il software che comprende prevalentemente codice interno o di terze parti, mentre PHP e C++ rimangono focalizzati sul codice locale. Il rapporto suggerisce che gli sviluppatori tendono a fare affidamento su librerie collaudate piuttosto che rifattorizzare le loro basi di codice per alternative più nuove e alla moda.

Inoltre, lo studio di Veracode indaga se linguaggi specifici sono più inclini a librerie imperfette e valuta i progressi nel ridurre le vulnerabilità nel tempo. Le librerie Java avevano il numero medio più alto di difetti al 12,5 percento, seguite da vicino da Ruby con circa il 10 percento e Python con circa il 5 percento. La prevalenza più bassa di librerie vulnerabili è stata riscontrata in PHP, JavaScript e .NET, ciascuna con una media di circa il 3%.

Progressi significativi sono stati notati nelle librerie Java, JavaScript e Python. Dal 2017, le librerie Java hanno ridotto i tassi di vulnerabilità di circa il 25%, Python del 20% e JavaScript del 10%.

La scansione dinamica combinata con l'analisi statica ha migliorato i tassi di correzione del 50% e ha accelerato il processo in media di 24 giorni. L'integrazione di SCA nel mix ha ulteriormente accorciato i tempi di altri sei giorni.

Lo sviluppo di software americano registra un massimo storico in termini di sicurezza, nonostante il recente aumento degli attacchi di alto profilo che hanno attirato l'attenzione nazionale. Il rapporto di Veracode riconosce che c'è ancora del lavoro da fare, ma la sicurezza del software è sulla buona strada. L'utilizzo di piattaforme no-code come AppMaster fornisce un ulteriore livello di sicurezza, grazie alla loro intrinseca natura a basso rischio, agli aggiornamenti automatici e al monitoraggio della conformità. Con i continui sforzi per affrontare i rischi per la sicurezza del software, il futuro sembra promettente.