Veracode ha pubblicato la quindicesima edizione del report State of Software Security, un’analisi dettagliata basata su dati raccolti da oltre 1,3 milioni di applicazioni e 126,4 milioni di risultati preliminari. La ricerca mette in luce tendenze preoccupanti e fornisce indicazioni su come le aziende possano migliorare la loro sicurezza applicativa.

Uno degli aspetti più critici emersi dallo studio è l’aumento del tempo medio necessario per correggere le vulnerabilità, passato da 171 a 252 giorni negli ultimi cinque anni. Se confrontato con il primo report di 15 anni fa, l’incremento è del 327%. Inoltre, metà delle aziende analizzate presenta un debito di sicurezza critico, ossia una serie di vulnerabilità non risolte da oltre un anno, spesso derivanti da codice di terze parti e dalla supply chain del software. Questo problema espone le organizzazioni a rischi elevati, con conseguenze potenzialmente disastrose in termini di attacchi informatici, danni reputazionali e perdite economiche.

Secondo Chris Wysopal, Chief Security Evangelist di Veracode, il panorama della sicurezza informatica è diventato sempre più complesso, soprattutto con la crescita dell’IA engineering. Il report precedente aveva già evidenziato che il 46% delle aziende aveva un debito di sicurezza di alta gravità, e il trend attuale indica un ulteriore peggioramento. Wysopal sottolinea che le aziende avrebbero le capacità per affrontare il problema, ma necessitano di supporto per stabilire le giuste priorità nelle loro iniziative di sicurezza.

La ricerca ha analizzato inoltre la distribuzione del debito di sicurezza tra le organizzazioni, evidenziando un divario significativo tra le aziende che gestiscono attivamente la sicurezza e quelle che accumulano vulnerabilità critiche. Cinque metriche chiave sono state individuate per valutare il livello di maturità della sicurezza:

sicurezza software

  • Ricorrenza delle vulnerabilità: nelle aziende leader, meno del 43% delle applicazioni presenta falle, mentre nelle realtà meno mature si supera l’86%
  • Capacità di correzione: i leader del settore correggono oltre il 10% delle vulnerabilità al mese, mentre le aziende in difficoltà ne risolvono meno dell’1%
  • Velocità di correzione: le aziende più efficienti eliminano metà delle falle in cinque settimane, mentre le meno performanti impiegano oltre un anno
  • Diffusione del debito di sicurezza: meno del 17% delle applicazioni delle aziende leader presenta debiti critici, rispetto a più del 67% nelle organizzazioni meno mature
  • Debito open-source: nelle aziende leader il debito critico derivante da componenti open-source è inferiore al 15%, mentre nelle altre rappresenta il 100% del debito critico

Il report suggerisce due ambiti chiave di intervento. Il primo riguarda il miglioramento della visibilità e dell’integrazione della sicurezza lungo tutto il ciclo di sviluppo del software, utilizzando automazione e cicli di feedback per ridurre il rischio di nuove vulnerabilità. Il secondo ambito riguarda invece la necessità di correlare e contestualizzare i risultati sulla sicurezza, così da gestire in modo più efficace il backlog di vulnerabilità e ridurre i rischi con un approccio mirato.

Un altro dato rilevante riguarda il miglioramento del tasso di applicazioni che superano i requisiti dell’OWASP Top 10, cresciuto del 63% negli ultimi cinque anni e più che raddoppiato negli ultimi 15 anni. Questo incremento è in parte attribuibile all’introduzione di nuove normative sulla cybersecurity, come le regolamentazioni della Securities and Exchange Commission (SEC) negli Stati Uniti e il Cyber Resilience Act dell’Unione Europea, che hanno spinto le aziende ad adottare pratiche più rigorose nella gestione del rischio.

“Strumenti come l’Application Security Posture Management consentono ai professionisti della sicurezza e ai team di sviluppo di stabilire le priorità e prendere decisioni informate, individuando ciò che è vulnerabile, facilmente accessibile e più urgente”, conclude Wysopal.