Cerca de la mitad de las empresas lanza software vulnerable a sabiendas
- Vulnerabilidades
La falta de conocimiento de los desarrolladores para mitigar los problemas y la falta de integración entre las herramientas de AppSec son los principales desafíos que afrontan al implementar DevSecOps. Casi 9 de cada 10 empresas afirman que invertirán más en AppSec este año.
Recomendados: La persistencia del ransomware Webinar Amenazas a las empresas en España durante la pandemia Leer |
Una investigación de Veracode y Enterprise Strategy Group (ESG) revela que casi la mitad de las organizaciones publican conscientemente código vulnerable de manera regular a pesar de usar herramientas de seguridad de aplicaciones. Entre las principales razones citadas para lanzar el código vulnerable se encuentran la presión para cumplir con los plazos de lanzamiento (54%) y haber detectado vulnerabilidades demasiado tarde en el ciclo de vida del desarrollo de software (45%).
La investigación arroja luz sobre cómo las prácticas y herramientas de AppSec se cruzan con los métodos de desarrollo emergentes y crean nuevas prioridades, como reducir el riesgo del código abierto y las pruebas de API. Los encuestados dijeron que la falta de conocimiento del desarrollador para mitigar los problemas y la falta de integración entre las herramientas de AppSec fueron dos de los principales desafíos que afrontan al implementar DevSecOps. Sin embargo, casi 9 de cada 10 empresas dijeron que invertirán más en AppSec este año.
El 60% de las organizaciones aseguran tener aplicaciones en producción que han sido explotadas por las 10 principales vulnerabilidades de OWASP en los últimos 12 meses. De manera similar, el estudio Veracode State of Software Security: Open Source Edition encontró que 7 de cada 10 aplicaciones tienen un fallo de seguridad en una biblioteca de código abierto en el escaneo inicial.
La falta de conocimiento de los desarrolladores sobre cómo mitigar los problemas es el mayor desafío de AppSec. El 53% de las organizaciones solo brindan capacitación en seguridad a los desarrolladores una vez al año o menos. Los datos de Veracode muestran que el 1% de las aplicaciones con la frecuencia de escaneo más alta tienen aproximadamente cinco veces menos errores de seguridad o fallos no resueltos que las aplicaciones escaneadas con menor frecuencia, lo que significa que el escaneo frecuente ayuda a los desarrolladores a encontrar y corregir fallos para reducir significativamente el riesgo de su organización.
El 43% citó la integración de DevOps como el aspecto más importante para mejorar su programa AppSec. Por su parte, el 84% afronta desafíos debido a demasiadas herramientas AppSec, lo que dificulta la integración de DevOps. En este sentido, el 43% de las empresas tiene entre 11 y 20 herramientas AppSec en uso, mientras que el 22% usa entre 21 y 50.