El 88% de las aplicaciones Java son vulnerables

  • Actualidad

El último informe de Veracode, propiedad de CA Technologies desde marzo, muestra que las vulnerabilidades de software siguen siendo alarmantes.

La misma semana en la que Oracle lanza una actualización de seguridad con más de 250 parches para varias decenas de productos, incluidas 20 para Java, Veracode publica su 2017 State of Software Security Report, una revisión de la seguridad de las aplicaciones entre más de 1.400 clientes.

También puedes leer...

Tratando con el Ransomware

Directrices para el Data Protection Office (DPO)

Cinco pasos para hacer del Data Masking una realidad

Lagunas de conocimiento en Ciberseguridad

Cómo cuantificar el valor de un CASB

Entre las conclusiones del informe, que el 88% de las aplicaciones Java contienen al menos un componente vulnerable, haciendo que seas susceptibles a más ataques. Esto es, en parte, porque menos del 28% de las compañías realizan análisis regulares para entender qué componentes están incluidos en sus aplicaciones, dice Veracode en su informe.

“El uso universal de los componentes en el desarrollo de aplicaciones significa que cuando se descubre una única vulnerabilidad en un único componente, esa vulnerabilidad tiene el potencial de afectar a miles de aplicaciones, haciendo que muchas de ellas sean vulnerables con un solo exploit”, explica Chris Wysopal, CTO, CA Veracode.

El uso de componentes en el desarrollo de aplicaciones es algo común porque permite a los desarrolladores reutilizar código funcional, acelerando la entrega del mismo. De hecho, el 75% del código de una aplicación está formado por componentes de código abierto.

Wysopal no cree que los desarrolladores vayan a dejar de utilizar componentes, “ni deberían hacerlo”, pero aconseja que se mantenga un inventario actualizado de las versiones de un componente que se está utilizando. “Hemos visto bastantes infracciones como resultado de componentes vulnerables y, a menos que las compañías empiecen a tomar esta amenaza más en serio y usando herramientas para controlar el uso de los componentes, predigo que el problema se intensificará”, dice el directivo.

Otros datos del informe de Veracode:

* Las vulnerabilidades continúan apareciendo en software previamente no probado a tasas alarmantes. El 77 por ciento de las aplicaciones tienen al menos una vulnerabilidad en el escaneo inicial.

* Las organizaciones gubernamentales siguen teniendo un rendimiento inferior al de otras industrias. No solo tuvieron una tasa de aprobación del 24,7 por ciento en la última exploración, sino que también tuvieron la mayor prevalencia de vulnerabilidades altamente explotables como cross-site scripting (49 por ciento) e inyección de SQL (32 por ciento).