Dare la giusta priorità al debito di sicurezza resta un problema per gli sviluppatori, Veracode annuncia innovazioni per identificare e unificare i rischi critici

Una nuova ricerca di Veracode mostra che gli sviluppatori danno la precedenza alle falle di bassa gravità rispetto a quelle gravi per la remediation. Le nuove funzionalità consentono alle organizzazioni di assegnare le priorità in modo più efficace

Figure 1: State of Software Security 2024 Language Snapshot (Graphic: Business Wire)

MILANO--()--Veracode, leader mondiale nella gestione del rischio applicativo, ha annunciato le ultime innovazioni della piattaforma pensate per aiutare le organizzazioni a identificare, prioritizzare e ridurre il debito di sicurezza sulla loro crescente superficie di attacco. Universal Connector e Application Security Heatmap, le due nuove funzionalità di Longbow powered by Veracode, consentono alle organizzazioni di collegare rapidamente i risultati, da qualsiasi fonte, correlandoli con le applicazioni che hanno il maggior livello di rischio. Insieme, Universal Connector e Application Security Heatmap forniscono una visione chiara e operativa degli asset e dei loro problemi, consentendo di dare priorità alle azioni di rimedio in base al rischio quantificabile.

Un crescente debito di sicurezza, una superficie di attacco in espansione resa più vulnerabile dall’intelligenza artificiale generativa e un volume schiacciante di avvisi di sicurezza rendono sempre più difficile per le aziende sapere a quali rischi applicativi dare priorità”, spiega Chris Eng, Chief Research Officer di Veracode. Infatti, la nostra ricerca State of Software Security mostra che molte organizzazioni si concentrano maggiormente sulla correzione di falle di bassa gravità piuttosto che delle vulnerabilità critiche. I responsabili della sicurezza hanno bisogno di una tecnologia che consenta loro di scoprire e gestire in modo efficace il rischio applicativo, per poi ridurlo concentrandosi sui problemi più importanti dell’intera superficie di attacco”.

Le priorità del debito di sicurezza: critico e non critico

Nel suo State of Software Security 2024 Language Snapshot, Veracode ha rivelato la presenza di diversi debiti di sicurezza “critici” e “non critici” tra le applicazioni scritte in diversi linguaggi. Il debito di sicurezza critico è definito in questo report come una falla ad alta gravità che rimane non risolta per più di un anno. Se utilizzate, queste vulnerabilità metterebbero a serio rischio l’integrità e la disponibilità delle organizzazioni.

Mentre la maggior parte del debito di sicurezza è presente nel codice di prima parte scritto dagli sviluppatori organici alle organizzazioni, la ricerca di Veracode ha rilevato che il debito di sicurezza più critico risiede nel codice di terze parti, come ad esempio software open source utilizzato come base del codice prodotto. Ad esempio, l’80% del debito critico nelle applicazioni Java e il 63% in quelle JavaScript risiede nel codice di terze parti. Il report ha anche rilevato che circa il 51% delle falle critiche nelle applicazioni Java si trasformano in debiti di sicurezza, mentre solo il 45% di livello medio-basse si trasformano in debiti di sicurezza.

Con la quantità straripante di falle di sicurezza, gli sviluppatori non danno priorità a quelle che presentano i rischi maggiori. Sebbene concentrarsi sulle vulnerabilità non critiche possa portare a qualche soluzione rapida, gli sviluppatori dovrebbero utilizzare le loro capacità limitate per lavorare alla correzione delle falle critiche con il più alto impatto potenziale sulla sicurezza” aggiunge Chris Eng.

Visibilità e priorità al primo posto: Universal Connector e Application Security Heatmap

A seguito dell’acquisizione di Longbow Security da parte di Veracode lo scorso aprile e dell’introduzione della funzionalità Repo Risk Visibility and Analysis di Longbow a maggio, Universal Connector e Application Security Heatmap sono stati progettati tenendo conto del tempo degli sviluppatori. Le funzionalità forniscono una supervisione operativa per aiutare gli sviluppatori e i team di sicurezza a identificare rapidamente e a dare priorità alle correzioni più importanti per il crescente debito di sicurezza nelle loro applicazioni.

Universal Connector consente alle organizzazioni di accedere rapidamente a dati rilevanti dal punto di vista della sicurezza, di differente origine che altrimenti non potrebbero essere integrati facilmente nella piattaforma Longbow, senza dover sviluppare un connettore specifico. L’Application Security Heatmap mappa l’applicazione in modo dettagliato fino a mostrare i singoli sviluppatori (anche di terze parti) che ne hanno sviluppato i singoli componenti, mostra una tendenza di rischio nei 90 giorni precedenti e consente la personalizzazione della soglia di rischio accettabile per soddisfare i criteri della specifica organizzazione. I team di sicurezza delle applicazioni e gli sviluppatori possono analizzare ogni applicazione, visualizzare la distribuzione del rischio e implementare le migliori 5 raccomandazioni dette “Best Next Action™” per rimediare al rischio medesimo.

Le organizzazioni cercano di individuare e risolvere i crescenti debiti di sicurezza, ma è evidente la necessità di una visibilità e di una prioritizzazione incentrate sul rischio”, commenta Derek Maki, Vice President of Product Management di Veracode. Le nuove funzionalità della piattaforma Longbow forniscono ai nostri clienti una comprensione più approfondita delle applicazioni più rischiose di un’organizzazione, oltre alla capacità unica di identificare le cinque soluzioni più impattanti per il miglioramento della postura di sicurezza”.

Grazie all’acquisizione di Longbow, Veracode può colmare il divario tra i team di sviluppo e di sicurezza, offrendo visibilità dai repository di codice alle risorse cloud e ai runtime. Longbow identifica anche il rischio dei sistemi basati su infrastructure-as-code e di errata configurazione per le risorse cloud provenienti dai repository.

Longbow Universal Connector e Application Security Heatmap sono già disponibili. Per ulteriori informazioni, è possibile visitate il sito web dedicato.

Il report completo State of Software Security 2024 Language Snapshot è disponibile per il download sul sito web di Veracode.

State of Software Security 2024

Il report Veracode State of Software Security 2024 ha analizzato i dati di aziende grandi e piccole, fornitori di software commerciale, outsourcer di software e progetti open-source. La ricerca si basa su oltre un milione (1.007.133) di applicazioni per tutti i tipi di scansione, 1.553.022 scansioni di analisi dinamica e 11.429.365 scansioni di analisi statica. Tutte queste scansioni hanno prodotto 96 milioni di risultati statici grezzi, 4 milioni di risultati dinamici grezzi e 12,2 milioni di risultati grezzi di analisi della composizione del software.

Veracode

Veracode è leader mondiale nella gestione del rischio applicativo nell’era dell’intelligenza artificiale. Alimentata da trilioni di linee di scansioni di codice e da un motore di remediation proprietario assistito da intelligenza artificiale, la piattaforma Veracode ha la fiducia di aziende di tutto il mondo per costruire e mantenere il software sicuro, dalla creazione del codice alla distribuzione nel cloud. Migliaia di team di sviluppo e sicurezza leader a livello mondiale utilizzano Veracode ogni secondo, ogni giorno, per ottenere visibilità accurata e fattibile del rischio di exploit, correzione delle vulnerabilità in tempo reale e per ridurre il debito di sicurezza su scala. Veracode è un’azienda pluripremiata che offre funzionalità per la sicurezza dell’intero ciclo di vita dello sviluppo del software, tra cui Veracode Fix, analisi statica, analisi dinamica, analisi della composizione del software, sicurezza dei container, gestione della postura di sicurezza delle applicazioni e penetration test.

Per saperne di più, visitate il sito www.veracode.com, il blog di Veracode, LinkedIn e Twitter.

Copyright © 2024 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio registrato di Veracode, Inc. negli Stati Uniti e può essere registrato in alcune altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o loghi appartengono ai rispettivi proprietari. Tutti gli altri marchi citati nel presente documento appartengono ai rispettivi proprietari.

Contacts

Contatti Stampa

AxiCom
Sandro Buti, Angela Spiaggi, Lorenzo Borghi
veracode_italy@axicom.com

Contacts

Contatti Stampa

AxiCom
Sandro Buti, Angela Spiaggi, Lorenzo Borghi
veracode_italy@axicom.com