Veracode revela que la deuda de seguridad crítica puede reducirse en un 75 % con la velocidad de corrección

  • Más del 70 % de las organizaciones se enfrentan a deudas de seguridad y casi el 50 % a deudas «críticas»
  • El Estado de la seguridad del software en 2024 revela que el código de terceros es el principal culpable, y que dos tercios de la deuda crítica proceden de bibliotecas de código abierto
  • La corrección de fallos de terceros lleva un 50 % más de tiempo, pero los equipos de desarrollo más rápidos pueden reducir la deuda de seguridad crítica unas cuatro veces

BURLINGTON, Massachusetts–(BUSINESS WIRE)–


Según el informe, aproximadamente el 63 % de las aplicaciones tienen fallos en código de origen, mientras que el 70 % contienen fallos en código de terceros importado a través de bibliotecas de terceros. Esto destaca la importancia de probar ambos tipos de código a lo largo del ciclo de vida de desarrollo del software. Los índices de corrección también varían en función del tipo de fallo: la corrección de los fallos de terceros lleva un 50 % más de tiempo, con la mitad de los fallos conocidos corregidos al cabo de 11 meses, frente a los siete meses de los fallos de origen.

Sin embargo, hay buenas noticias: los fallos de seguridad graves en las aplicaciones han disminuido a la mitad desde 2016, lo que indica un progreso en las prácticas de seguridad del software y que la velocidad de corrección tiene un impacto material en la deuda de seguridad crítica.

El SoSS 2024 señala que los equipos de desarrollo que corrigen los fallos con mayor rapidez reducen la deuda de seguridad crítica en un 75 %; del 22,4 % de las aplicaciones a poco más del 5 %. Además, estos equipos que actúan con rapidez tienen cuatro veces menos probabilidades de dejar que la deuda de seguridad crítica se materialice en sus aplicaciones desde el principio.

Chris Eng, director de investigación de Veracode, ha declarado: «Aunque seguimos observando mejoras en el panorama de la seguridad, estos resultados son una llamada de atención para que las organizaciones aborden directamente su deuda de seguridad. Al priorizar la corrección de fallos, centrarse en la seguridad del código de terceros y adoptar prácticas de desarrollo eficientes, las organizaciones pueden reducir significativamente su deuda de seguridad y mejorar el estado general de la seguridad del software en todos los ámbitos».

Cómo abordar la IA y la cadena de suministro de software

En una era en la que la IA (inteligencia artificial) está revolucionando rápidamente el desarrollo de software, el informe resalta una tendencia preocupante. Según Chris, «a pesar de la velocidad y eficiencia que la IA aporta al desarrollo de software, no produce necesariamente código seguro. La investigación ha demostrado que el 36 % del código generado por GitHub CoPilot contiene fallos de seguridad». Esta proliferación de código inseguro a gran escala plantea un riesgo significativo para las organizaciones y la cadena de suministro de software, lo que lleva a la acumulación de deuda de seguridad con el paso del tiempo.

La priorización de riesgos es clave

La investigación de Veracode también concluyó que la capacidad de corrección entre los equipos es limitada, ya que solo el 64 % de las aplicaciones tienen una capacidad de corrección suficiente para eliminar la deuda de seguridad crítica. De hecho, solamente dos de cada diez aplicaciones muestran una tasa media mensual de corrección que supera el diez por ciento de todos los fallos de seguridad. Esto indica que, incluso en los casos en que la capacidad de corrección de los equipos es suficiente, no están dando prioridad a los fallos críticos.

A pesar de ello, hay esperanzas de éxito. Tan solo el tres por ciento de todos los fallos constituyen una deuda de seguridad crítica, y este subconjunto representa la mayor exposición al riesgo de las aplicaciones. Al dar prioridad a ese tres por ciento, las organizaciones pueden lograr la máxima reducción del riesgo con un esfuerzo concentrado.

Chris concluye: «La IA también facilita el camino hacia una nueva frontera en la seguridad del software, ya que permite a las organizaciones ampliar los esfuerzos de corrección y abordar más fácilmente la enorme deuda de seguridad acumulada, así como los nuevos fallos que surjan. La gran mayoría de los CWE (Common Weakness Enumeration) con una calificación de gravedad de media a muy alta pueden abordarse a través de ediciones de código generadas por la IA de Veracode Fix».

El informe completo sobre el Estado de la seguridad del software en 2024 está disponible para su descarga en el sitio web de Veracode. Para acceder al informe y profundizar en las conclusiones y recomendaciones, visite el sitio web. También hay disponible para leer un artículo de blog en el que se resumen las principales conclusiones del informe.

-FIN-

Acerca del Informe del Estado de la seguridad del software

El informe del Estado de la seguridad del software 2024 de Veracode ha analizado datos de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. La investigación se basa en más de un millón (1 007 133) de aplicaciones de todos los tipos de análisis, 1 553 022 análisis dinámicos y 11 429 365 análisis estáticos. Todas esas comprobaciones generaron 96 millones de resultados estáticos en bruto, 4 millones de resultados dinámicos en bruto y 12,2 millones de resultados de análisis de composición de software en bruto.

Acerca de Veracode

Veracode es seguridad de software inteligente. La plataforma de seguridad de software Veracode encuentra continuamente fallos y vulnerabilidades en cada etapa del ciclo de vida de desarrollo de software moderno. Gracias a una potente IA entrenada en un conjunto de datos de confianza cuidadosamente seleccionados a partir de la experiencia en el análisis de billones de líneas de código, los clientes de Veracode solucionan los fallos con mayor rapidez y precisión. Con la confianza de los equipos de seguridad, desarrolladores y líderes empresariales de miles de organizaciones líderes en el mundo, Veracode es pionera y continúa redefiniendo lo que significa la seguridad inteligente del software.

Más información en www.veracode.com , en el blog de Veracode y en LinkedIn y Twitter .

Copyright © 2024 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.

El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.

Contacts

Para obtener más información:

Katy Gwilliam

kgwilliam@veracode.com

What do you think?

Kinaxis da la bienvenida a PredictHQ, su nuevo socio en la extensión de soluciones

NextGen i.i. anuncia un acuerdo estratégico de reaseguros con AXA PPP healthcare Limited (AXA Health)