Cresce il debito di sicurezza in EU: Veracode propone di colmarlo con la IA
Veracode ha pubblicato il report annuale State of Software Security (SoSS) 2024 per l’area EMEA, evidenziando preoccupanti livelli di debito di sicurezza nelle aziende della regione. La ricerca ha infatti rivelato che il 68% delle organizzazioni in EMEA presenta un qualche debito di sicurezza, mentre il 46% ha falle persistenti ad alta gravità nel codice, classificate come debito di sicurezza “critico”.
Il debito di sicurezza, definito come una falla del software non risolta per più di un anno, si accumula quando gli sviluppatori non hanno tempo o risorse per risolvere vulnerabilità potenzialmente pericolose. Massimo Tripodi, Country Manager Italia di Veracode, sottolinea l’importanza di concentrarsi sulla correzione dei debiti di sicurezza critici, che rappresentano il rischio più elevato.
L’analisi delle velocità di remediation nell’area EMEA ha mostrato che le organizzazioni che utilizzano metodi manuali impiegano in media 19 mesi per correggere le falle nel codice di terze parti, rispetto ai 9 mesi per quello di prima parte. Inoltre, l’84% del debito di sicurezza generale deriva da codice di prima parte sviluppato internamente, mentre l’80% del debito di sicurezza critico proviene da codice di terze parti. Significativamente, il debito di sicurezza critico nell’area EMEA è del 65% superiore rispetto al tasso globale.
Il report affronta anche il ruolo dell’intelligenza artificiale nella correzione delle vulnerabilità. Mentre i generatori IA di codice sono sempre più utilizzati dagli sviluppatori, non sempre producono risultati sicuri. Tuttavia, l’IA può essere impiegata per ridurre il debito di sicurezza, supportando gli sviluppatori e i team di sicurezza nella correzione delle vulnerabilità. Veracode Fix, una soluzione di correzione basata sull’IA, ha dimostrato di ridurre i tempi di risoluzione delle vulnerabilità più comuni da giorni a minuti.
Per mitigare il debito di sicurezza in un ambiente complesso, il report suggerisce di concentrarsi sulla correzione del 4% delle falle che rappresentano il rischio più elevato. Gli strumenti di Application Security Posture Management (ASPM) sono raccomandati per monitorare costantemente il rischio e fornire una panoramica completa dei problemi di sicurezza lungo l’intero ciclo di sviluppo del software.