A más pruebas de seguridad, menor tiempo en la resolución de vulnerabilidades

El informe sobre el Estado de la Seguridad del Software de Veracode, que este año ha llegado a su décima edición, ve síntomas que apuntan a un avance de las empresas hacia desarrollos más seguros, y otros datos menos positivos como la prevalencia de las mismas vulnerabilidades a lo largo de la última década.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Ese mismo estudio también revela que cuanto más tiempo se mantengan activas las vulnerabilidades, las posibilidades de que se corrijan disminuyen, lo que se suma a la deuda en seguridad de una organización, es decir, se acumulan con la lista de fallos por resolver. Este tema se está convirtiendo en un problema para empresas de todos los sectores, ya que aproximadamente la mitad de las aplicaciones acumulan deudas con el tiempo, aunque es verdad que una cuarta parte las está reduciendo y otra cuarta parte está llegando al punto de equilibrio.

Según el informe, la frecuencia con la que se escanea una aplicación tiene un impacto directo a la deuda de seguridad en general. El 1% de las aplicaciones con la frecuencia de escaneo más alta desencadena aproximadamente cinco veces menos deudas de seguridad, lo que sugiere que una exploración frecuente va más allá del hecho de encontrar los fallos; también ayuda a las empresas a reducir significativamente el riesgo.

Según Chis Eng, responsable de Riesgos de la compañía, “la prevalencia general de las vulnerabilidades aumentó un 11% desde que lo reportamos por primera vez hace 10 años, pero la proporción de las que se han evaluado como de alta gravedad cayó un 14% durante el mismo período. Los datos muestran que es muy probable que los desarrolladores sean quienes se den cuenta y corrijan los fallos de esta categoría, por lo que existe una evidencia sólida de que los equipos de desarrollo están mejorando para determinar qué fallos son los más importantes para solucionarlos primero”.

DevSecOps mejora las tasas de reparación
La frecuencia y la cadencia de las pruebas de seguridad están vinculadas a los cambios de hábitos, con la finalidad de reducir la deuda en seguridad. Las aplicaciones escaneadas menos de una vez al mes requieren un tiempo medio de solución de 68 días, pero los equipos de desarrollo que hacen el escáner diario solo tardan 19 días, lo que contribuye a reducir la acumulación de la deuda a través del tiempo. Las organizaciones también pueden reducir dicha deuda creando listas de verificación de seguridad para desarrolladores para todas las nuevas funciones, y escaneando bases de código después de cada compilación nocturna.

"Los equipos de desarrollo no pueden ignorar los fallos ni elegir reparar los nuevos en lugar de los antiguos. En su lugar, deberían hacer un plan para arreglar los errores más actuales y usar ‘sprints de seguridad’ periódicos para corregir fallos no resueltos que podrían ser atacados", explica Eng.

Los datos revelan que el 30% de las aplicaciones muestran un mayor número de fallos en su último análisis, un indicador de que se está acumulando la deuda de seguridad. Esto no implica necesariamente que esos equipos de desarrollo estén haciendo un mal trabajo a la hora de manejar los fallos (el periodo de tiempo analizado podría estar asociado a un tiempo de rápido crecimiento y cambio, por ejemplo), aunque las organizaciones deberían pensar en la frecuencia con la que las pruebas de seguridad de las aplicaciones (AppSec) en los entornos DevOps pueden tener un impacto positivo en la deuda de seguridad.