Nell’epoca digitale in cui viviamo, la sicurezza del software rappresenta un elemento cruciale per le aziende che operano in un ambiente sempre più interconnesso e soggetto a minacce cybernatiche sempre più sofisticate. Un recente rapporto mette in luce una realtà allarmante: il 46% delle organizzazioni presenta difetti persistenti e di elevata gravità che costituiscono un debito di sicurezza “critico”, mettendo a serio rischio la riservatezza, l’integrità e la disponibilità dei dati.
Secondo quanto riportato, la maggior parte dei difetti risiede nel codice di terze parti, con il 63% delle applicazioni afflitte da problemi in questo ambito. Ancora più preoccupante è il fatto che il 70% delle applicazioni contiene difetti nel codice importato tramite librerie di terze parti, evidenziando l’importanza di testare entrambi i tipi di codice durante l’intero ciclo di vita dello sviluppo del software.
Tuttavia, c’è una luce in fondo al tunnel. Il rapporto rivela che le falle di sicurezza di elevata gravità nelle applicazioni sono diminuite della metà dal 2016, indicando progressi nelle pratiche di sicurezza del software. Si è dimostrato che la velocità di risoluzione ha un impatto significativo sul debito di sicurezza critico, con i team di sviluppo in grado di risolvere i difetti più velocemente che riducono il debito critico relativo alla sicurezza del 75%.
Chris Eng, Chief Research Officer di Veracode, sottolinea l’importanza di dare priorità alla risoluzione dei difetti, concentrarsi sulla sicurezza del codice di terze parti e adottare pratiche di sviluppo efficienti per ridurre in modo significativo il debito di sicurezza. Tuttavia, Eng avverte che nonostante l’intelligenza artificiale stia rapidamente rivoluzionando lo sviluppo del software, il 36% del codice generato da GitHub CoPilot contiene difetti di sicurezza, sottolineando il rischio che la proliferazione di codice non sicuro rappresenta per le organizzazioni e la catena di fornitura del software.
Il rapporto evidenzia inoltre una capacità di riparazione limitata tra i team, con solo il 64% delle applicazioni che hanno una capacità di riparazione sufficiente a eliminare il debito di sicurezza critico. Ciò suggerisce che, anche nei casi in cui la capacità di correzione dei problemi dei team è sufficiente, spesso non si dà priorità ai difetti critici.
Tuttavia, c’è ancora speranza. Solo il 3% di tutti i difetti costituisce un debito di sicurezza critico, rappresentando la maggiore esposizione al rischio per le applicazioni. Concentrandosi su questo 3%, le organizzazioni possono ottenere la massima riduzione del rischio con uno sforzo mirato.
In conclusione, mentre l’intelligenza artificiale apre nuove frontiere nella sicurezza del software, è essenziale che le aziende affrontino il proprio debito di sicurezza in modo proattivo. Solo attraverso una combinazione di pratiche di sviluppo sicure, test attenti e risoluzione tempestiva dei difetti, le aziende possono proteggere i propri dati e garantire la sicurezza delle loro applicazioni in un mondo sempre più digitale e interconnesso.