Le vulnerabilità open-source rappresentano l'82% del debito di sicurezza critico nelle aziende bancarie, di servizi finanziari e nelle compagnie di assicurazione

BURLINGTON, Mass.: Veracode, il leader globale nella gestione del rischio applicativo, oggi ha pubblicato il suo 2025 State of Software Security (SoSS) Snapshot per il settore dei servizi finanziari. Gli analisti rivelano che quasi due terzi (63 percento) delle organizzazioni nei settori bancario, assicurativo e dei servizi finanziari (BFSI) hanno un debito di sicurezza critico: difetti di alta gravità trascurati per periodi di tempo superiori a un anno, un tasso di 13 punti percentuali superiore alla media intersettoriale.

"Nei servizi finanziari, la fiducia è tutto, eppure i nostri dati rivelano un crescente rischio silente per il settore, creato da un debito di sicurezza irrisolto", ha dichiarato Chris Wysopal, Cofondatore e Responsabile della sicurezza at Veracode. "Con l'aumento degli attacchi basati sull'intelligenza artificiale e i requisiti di compliance divenuti più rigorosi, i leader finanziari devono dare priorità alla riduzione del rischio strategico, a partire dal rimedio mirato di difetti critici del software”.

I ricercatori Veracode segnalano che il 77 percento delle aziende di servizi finanziari accumula qualche livello di debito di sicurezza. Con un tempo medio di risoluzione dei difetti di 276 giorni, il tempo necessario per rimediare il 50 percento di tutte le vulnerabilità, occorre al settore quasi un mese in più per riparare i problemi di sicurezza rispetto ad altri settori. Nonostante i modesti progressi nella riduzione dei difetti da alta gravità, il progresso si è fermato mentre applicazioni più vecchie e più grandi nel settore continuano ad accumulare rischi di sicurezza irrisolti.

La dipendenza dall'open-source amplifica l'esposizione

Secondo il rapporto, la catena di fornitura rimane un'importante fonte di rischio. Mentre il codice di terze parti rappresenta solo il 17 percento del debito di sicurezza totale, questo costituisce oltre l'82 percento del debito di sicurezza critico presso le aziende finanziarie. Con i difetti dell'open-source che richiedono il 50 percento in più del tempo per rimediare rispetto al codice di prima parte, le organizzazioni si trovano ad affrontare una crescente esposizione in un quadro di sempre maggiore pressione normativa. Valutare proattivamente le librerie open-source ed evitare componenti con difetti noti riduce significativamente l'esposizione a lungo termine e il rischio in tutte le applicazioni.

Leaders contro ritardatari: il benchmarking della maturità AppSec

Il rapporto confronta le aziende BFSI dalle migliori prestazioni con quelle con prestazioni inferiori. I leader del settore rimediano oltre il 9 percento dei difetti aperti ogni mese e limitano il debito di sicurezza a meno del 26 percento delle applicazioni, mentre i ritardatari hanno un debito nell'85 percento o più delle loro applicazioni e allungano i cicli di correzione oltre un anno. Il divario sottolinea l'importanza dell'analisi continua del codice, della rapida correzione e della priorità contestuale basata sul rischio con strumenti moderni e alimentati dall'IA.

Wysopal ha concluso, "Questo rapporto offre ai responsabili finanziari i dati necessari per segnare il progresso e assegnare le risorse con maggiore efficacia. Comprendendo dove si concentrano i rischio critici legati all'open-source e ai sistemi legaci, le organizzazioni possono andare oltre la semplice identificazione di difetti per riparare strategicamente le difficoltà più critiche, consentendo loro di proteggere i loro clienti mentre innovano in sicurezza e con fiducia”.

Il Veracode 2025 State of Software Financial Services Snapshot è disponibile su leggere sul sito di Veracode.

Informazioni sulla relazione State of Software Security

La relazione Veracode State of Software Security (SoSS) 2025 è il 15esimo volume del rapporto. Analizza i dati da aziende di ogni dimensione, fornitori di software commerciale e progetti di open-source. Il rapporto contiene risultati riguardanti le applicazioni soggette ad analisi statica, analisi dinamica, analisi della composizione del software e/o test di penetrazione manuali tramite la piattaforma cloud-based di Veracode. Nello specifico, i dati provengono da:

1.3 milioni di applicazioni uniche con 126,4 milioni di risultati grezzi

107,4 milioni di risultati identificati attraverso scansioni SAST

3,9 milioni di risultati identificati attraverso gli schermi DAST

15 milioni di risultati identificati attraverso l'Analisi della composizione del software

Informazioni su Veracode

Veracode è un leader globale nella gestione del rischio applicativo per l'era dell'AI. Basata su trilioni di linee di scansioni di codici e su un motore proprietario di recupero assistito dall'AI, la piattaforma Veracode offre sicurezza software adattiva ed è la scelta a cui si affidano le organizzazioni di tutto il mondo per realizzare e mantenere la sicurezza del software, dalla creazione di codici all'implementazione sul cloud. Migliaia dei team di sviluppo e sicurezza più importanti al mondo utilizzano Veracode ogni secondo di ogni giorno per ottenere visibilità accurata e fruibile sui rischi utilizzabili, rimediare in tempo reale alle vulnerabilità e ridurre i problemi di sicurezza su larga scala.

Veracode è una società pluripremiata che offre capacità in grado di tutelare l'intero ciclo di vita di sviluppo del software grazie prodotti come Veracode Fix, analisi statica, analisi dinamica, analisi della composizione del software, sicurezza dei container, gestione della postura di sicurezza delle applicazioni, rilevamento di pacchetti dannosi e test di penetrazione.

Per saperne di più visitare il sito web www.veracode.com e il blog di Veracode, oppure seguire l'azienda su LinkedIn e X.

Fonte: Business Wire