Las empresas avanzan hacia desarrollos más seguros, pero su 'deuda en seguridad' aumenta
- Actualidad
El 56% de las vulnerabilidades de seguridad son solucionadas, pero el 83% de software aún tiene fallos en el primer escaneo, según la última edición del informe sobre el Estado de la Seguridad del Software de Veracode. Según la empresa, al final esto conduce a un aumento de su ?deuda en seguridad?, ya que ya que se acumulan los no resueltos y se unen a la lista de fallos sin resolver.
Veracode recurre al símil de las tarjetas de crédito para hablar de ‘deuda en seguridad’. “Al igual que las deudas en las tarjetas de crédito, haciendo pequeños gastos de forma recurrente se puede acumular una gran deuda”, dice Chris Wysopal, co-fundador y CTO de la compañía cuando habla de que, aunque más de la mitad de todos los fallos de seguridad (56%) son solucionados, remediar los nuevos errores conduce a una mayor deuda en seguridad, ya que se acumulan los no resueltos y se unen a la lista de fallos sin resolver. Además, según sus datos, el 83% de software aún tiene fallos en el primer escaneo.
Después de analizar más de 85.000 aplicaciones en más de 2.300 compañías en todo el mundo, la investigación indica que corregir las vulnerabilidades se ha convertido en una parte igual de importante la mejora de la funcionalidad, lo que sugiere que los desarrolladores están cambiando su mentalidad para ver la seguridad de su código de la misma manera que otras métricas de valor.
Tras diez años elaborando el informe, el directivo dice que “hemos visto una gran mejora en el estado general de la seguridad de las aplicaciones (AppSec). Hemos pasado de tener que discutir por qué dicha seguridad es importante a tener conversaciones sobre la mejor manera de abordar el problema. Este cambio se refleja en los datos que muestran que las empresas están solucionando un mayor porcentaje de fallos que nunca, pero hay mucho margen de mejora, específicamente cuando se trata del tema del aumento de la deuda de seguridad”.
Principales fallos
En general, según los datos del estudio, el 83% de las aplicaciones tienen al menos un error en el escaneo inicial, y la filtración de información (64%), problemas criptográficos (62%) e inyección de CRLF (61%) son los problemas más comunes.
Aunque hay vulnerabilidades recurrentes en todas las ediciones del estudio, los equipos de desarrollo están avanzando para mantenerse al día con ellas: el 70% está reduciendo el número de errores después del primer escaneo o están logrando no introducir ningún otro al momento del escaneo final, y también se observan otros avances que apuntan que la educación en seguridad del software está ayudando a reducir las vulnerabilidades.
