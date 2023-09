Il report "State of Software Security 2023" scopre come la sicurezza software sia rimasta indietro nei mercati EMEA, con circa il 20% delle applicazioni che hanno problemi di sicurezza "di alta severità"

Le aziende nei mercati EMEA si espongono così a un rischio maggiore per via delle vulnerabilità nel codice proveniente da terze parti e da quello generato dall'IA

LONDRA: Veracode, azienda leader globale nei software di sicurezza smart, ha oggi rilasciato una propria ricerche che evidenzia come le applicazioni sviluppate dalle aziende in Europa, Medio Oriente e Africa tendano a contenere più problemi a livello di sicurezza rispetto a quelle sviluppate negli Stati Uniti. In tutte i paesi analizzati, i mercati EMEA hanno anche la più alta percentuale di problemi di sicurezza "di alta severità", che potrebbero causare conseguenze importanti per le aziende se venissero scoperti e sfruttati. Un alto numero di problemi e vulnerabilità nelle applicazioni è correlato con un aumento dei livelli di rischio, un fattore particolarmente evidenziabile dalle notizie di attacchi informatici a tutta la catena di produzione e distribuzione software avvenuti nel corso del 2023.

I ricercatori hanno scoperto che oltre l'80% delle applicazioni sviluppate dalle aziende nei mercati EMEA aveva almeno un problema di sicurezza, rilevato dalla loro scansione più recente negli ultimi 12 mesi, rispetto a circa il 73% delle aziende negli Stati Uniti. Inoltre, la percentuale di applicazioni che contiene problemi "di alta severità" rappresenta la più alta di tutti i paesi, con un picco del 20%.

“I nostri dati mostrano come le aziende in tutto il mondo continuano a sviluppare e rilasciare un numero sempre più preoccupante di applicazioni contenenti tanti problemi di sicurezza nella CWE Top 25,” ha riferito Chris Eng, Chief Research Officer presso Veracode. “Abbiamo però rilevato delle interessanti differenze in base ai paesi analizzati, specialmente per quanto riguarda l'uso di codice sviluppato da terze parti o da fonti open-source e i modi in cui le vulnerabilità siano presenti in tutto il ciclo di vita delle applicazioni", ha continuato.

L'analisi dei dati raccolti da oltre 27 milioni scansioni su 750.000 applicazioni ha reso possibile la stesura del report annuale di Veracode sullo State of Software Security. Questo nuovo report evidenzia i risultati specifici dei mercati EMEA derivanti dalle scansioni e applicazioni prese in considerazione. Sono presenti risultati sulle ricerche effettuate nel Regno Unito, Germania, Francia e Italia, così come nel Medio Oriente e Africa.

I soli numeri non sono in grado di far comprendere le conseguenze dovute ad eventuali hacker capaci di sfruttare tutte queste vulnerabilità nei software. Con le aziende dei mercati EMEA che stanno usando software sempre più complessi, anche affidandosi a soluzioni di terze parti, per fornire i propri servizi, lo sfruttamento di vulnerabilità importanti può avere conseguenze per centinaia di migliaia di vittime. A inizio anno, una vulnerabilità che riguardava gli strumenti software di PaperCut MF e PaperCut NG fu scoperta e abusata da parte dei criminali informatici. Fino a 70.000 aziende in 200 paesi divennero potenziali target e i report delle forze dell'ordine hanno rilevato come i criminali furono in grado di compromettere le aziende più vulnerabili nel settore dell'educazione.

Java e codice derivante da terze parti portano a importanti problemi di sicurezza

La ricerca ha identificato delle importanti differenze nei vari paesi per quanto riguarda le preferenze sui linguaggi di programmazione più usati, con Java che rappresenta l'opzione preferita dagli sviluppatori nei mercati EMEA. I team che usano Java riescono a porre rimedio a eventuali vulnerabilità con tempistiche molto più lunghe rispetto ai team che usano .NET oppure Javacript, consentendo a queste vulnerabilità di rimanere presenti o anche di non essere scoperte per periodi più lunghi della media. Inoltre, considerato che oltre il 95% delle applicazioni Java includono codice di terze parti od open-source, l'utilizzo di Java è un fattore chiave nell'aumento in percentuale delle vulnerabilità introdotte nelle applicazioni sviluppate nei paesi EMEA. Ciò evidenzia quanto sia importante il processo di Software Composition Analysis (SCA), che si occupa di rilevare vulnerabilità e problemi nel codice open-source, e la ricerca ha riscontrato come sia presenta una proporzione maggiore di vulnerabilità segnalate dai procesi SCA nei mercati EMEA rispetto ad altri paesi.

Mentre l'IA generativa continua ad avere sempre più attenzioni e utilizzo nel campo dello sviluppo software, il rischio di vulnerabilità provenienti da fonti esterne aumenta di pari passo. Uno studio , presentato all'evento Black Hat nel 2022, ha mostrato la presenza di vulnerabilità nel 40% del codice che era stato scritto dai modelli di linguaggi di programmazione allenati su ampie raccolte di dati grezzi, inclusi milioni di repository pubbliche su GitHub. Diventa quindi di importanza vitale che le aziende siano capaci di usare gli strumenti per i processi SCA per trovare e risolvere tutte le eventuali vulnerabilità, consentendo agli sviluppatori di godere dei benefici dell'IA senza però compromettere la sicurezza delle applicazioni.

Le applicazioni diventano sempre più vulnerabili con il passare del tempo

La ricerca ha anche dimostrato come nuove vulnerabilità siano introdotte di continuo nelle applicazioni sviluppate nei mercati EMEA, con un tasso in percentuale su tutto il ciclo di vita delle applicazioni che risulta più alto rispetto ad altri mercati. Sebbene le aziende nei paesi EMEA continuano ad aggiornare le proprie applicazioni, è stata riscontrata un'attenzione minore sul lato qualitativo dello sviluppo. Dopo un periodo di cinque anni, il 50% delle applicazioni sviluppate nei mercati EMEA continua a introdurre nuove vulnerabilità e problemi, rispetto a solo il 30% del resto del mondo. In generale, la possibilità che una nuova vulnerabilità sia introdotta in un'applicazione, in un qualsiasi mese dell'anno, era pari al 27%.

Considerato ciò, le aziende dei paesi EMEA dovrebbero porre maggiore attenzione all'ultima fase di sviluppo delle applicazioni, premurandosi di scansionarle con più regolarità. Dovrebbero anche dare maggiore priorità al training in ambito cybersecurity per tutti i loro sviluppatori: le ricerche dimostrano che se si completa 10 security lab interattivi, la probabilità di introdurre nuove vulnerabilità cala dal 27% al 25% durante un qualsiasi mese dell'anno.

“Il report State of Software Security di quest'anno evidenzia l'importanza della cybersecurity in tutto il ciclo di vita di un software, così come sottolinea l'urgente bisogno di risolvere i rischi legati all'uso di codice proveniente da terze parti o dall'IA generativa", ha aggiunto Eng. "Mentre in tutto il mondo stiamo assistendo a un preoccupante aumento nel numero delle vulnerabilità, queste cifre risultano superiori nei paesi EMEA per tutte le misurazioni prese in considerazione. I team di sviluppo di questi paesi devono cogliere l'opportunità per automatizzare la sicurezza software tramite scansioni regolari e considerare con attenzione l'uso di strumenti IA, sia per aumentare il livello di sicurezza, sia per migliorare il lavoro degli sviluppatori stessi".

Il report State of Software Security EMEA 2023 di Veracode suggerisce quattro azioni che i team di sviluppo software possono intraprendere per migliorare il livello di cybersecurity. Il report in questione è disponibile per il download sul sito di Veracode.

Il report globale "State of Software Security 2023" di Veracode è disponibile per il download.

Informazioni sulla relazione State of Software Security

Il 13esimo volume del report annuale di Veracode "State of Software Security" esamina i trend storici che definiscono il panorama dello sviluppo software e come evolvono le pratiche di cybersecurity al passo di questi trend. Le scoperte effettuate quest'anno sono basate su tutti i dati storici disponibili dai servizi e clienti Veracode, e rappresentano una serie di azienda di piccole e grandi dimensioni, aziende fornitrici di software commerciali, aziende di outsourcing per lo sviluppo software e progetti open-source. Il report contiene una serie di scoperte relative alle applicazioni che sono state soggette a un'analisi di tipo statica e dinamica, così come ai processi di Software Composition Analysis e/o penetration test effettuati tramite la piattaforma cloud-based di Veracode.

Informazioni su Veracode

Veracode è un'azienda di soluzioni smart di software security. La Veracode Software Security Platform è in grado di trovare in continuazione nuove vulnerabilità ed errori ad ogni stage del moderni cicli di sviluppo dei software. Grazie alla potente IA allenata su trilioni di linee di codice, i clienti di Veracode possono risolvere i propri errori informatici più velocemente e con un alto grado di precisione. Di Veracode si fidano interi team di sicurezza, sviluppatori e figure leader del settore in migliaia di aziende leader nel mondo. Veracode rappresenta un'azienda rivoluzionaria nel suo settore, capace di ridefinire in continuazione il concetto di smart software security.

Copyright © 2023 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio registrato di Veracode, Inc. negli Stati Uniti e può essere registrato in alcune altre giurisdizioni. Tutti gli altri nomi di prodotto, marchio o logo appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.

