Una azienda su due ha un debito critico di sicurezza
Metà delle aziende ha un cumulo di vulnerabilità non risolte da oltre un anno, e il tempo medio per risolvere le falle è salito a 252 giorni: i dati dello State of Software Security di Veracode
Veracode ha annunciato la 15° edizione del suo report State of Software Security (SoSS). Lo studio, spiega una nota, si basa su rilevazioni su 1,3 milioni di applicazioni uniche e con 126,4 milioni di risultati preliminari, e rivela un preoccupante aumento del tempo medio necessario per risolvere le falle di sicurezza, passato da 171 a 252 giorni negli ultimi cinque anni, con un aumento addirittura del 327% rispetto a 15 anni fa.
Inoltre il 50% delle aziende presenta un debito di sicurezza critico, definito come un accumulo di vulnerabilità non risolte da più di un anno. Gran parte di queste falle proviene da codice di terze parti e dalla supply chain del software.
“La superficie di attacco è diventata sempre più articolata, in particolare negli ultimi due anni con l’esplosione dell’AI engineering. Già il report dell’anno scorso aveva rilevato come il 46% delle organizzazioni avesse debiti di sicurezza di alta gravità: l’aumento annuale può sembrare marginale, ma la direzione generale è quella sbagliata”, dichiara nella nota Chris Wysopal, Chief Security Evangelist di Veracode. “Il nostro studio fornisce solide prove del fatto che le aziende possono risolvere il loro debito di sicurezza, ma hanno bisogno di supporto per definire le priorità delle loro iniziative”.
Cinque indici chiave della maturità della sicurezza
La ricerca di Veracode ha analizzato la distribuzione del debito di sicurezza nelle organizzazioni. C’è chi non ha quasi debiti e chi invece registra valori molto elevati, ma la maggior parte si colloca nel mezzo, con un mix di applicazioni senza debiti e con debiti.
Il report mette in evidenza cinque metriche chiave del livello di maturità della sicurezza, cioè della capacità di un’azienda di ridurre sistematicamente il rischio: ricorrenza delle vulnerabilità, capacità di correzione, velocità di correzione, diffusione del debito e debito open-source.
Ricorrenza delle vulnerabilità: le aziende leader presentano falle in meno del 43% delle applicazioni, quelle “in ritardo” in oltre l’86% delle applicazioni.
Capacità di correzione: ogni mese i leader risolvono oltre il 10% delle falle presenti, le aziende in ritardo meno dell’1%.
Velocità di correzione: i “leader” del settore correggono la metà delle vulnerabilità in cinque settimane, le organizzazioni “in ritardo” ci mettono più di un anno.
Diffusione del debito di sicurezza: meno del 17% delle applicazioni nelle aziende “leader” presenta un debito di sicurezza, rispetto a più del 67% di quelle “in ritardo”.
Debito open-source: le organizzazioni “leader” hanno un debito critico open-source inferiore al 15%, in quelle “in ritardo” il 100% del debito critico è di origine open-source.
“La ricerca offre uno scenario interessante per le aziende che vogliono valutare la propria maturità in materia di sicurezza, comprendere i fattori specifici che contribuiscono al debito di sicurezza, valutare l’importanza di ciascuna metrica e confrontare le proprie prestazioni con quelle di organizzazioni simili”, commenta Wysopal.
Due aree chiave su cui concentrarsi
La ricerca di Veracode rileva che il tasso di applicazioni che non presentano nessuna delle criticità della Top 10 dell’Open Worldwide Application Security Project (OWASP) è aumentato del 63% negli ultimi cinque anni ed è più che raddoppiato in 15 anni. Le nuove norme sulla cybersecurity dello scorso anno, come la sentenza della SEC degli Stati Uniti e il Cyber Resilience Act dell’Unione Europea, hanno contribuito a questa tendenza, in quanto i fornitori di software adottano un approccio più disciplinato alla gestione del rischio.
Il report raccomanda alle aziende due aree chiave su cui concentrarsi. Primo: devono migliorare la visibilità e l’integrazione nell’intero ciclo di vita dello sviluppo del software, utilizzando automazione e cicli di feedback per prevenire nuove falle di sicurezza.
Secondo: devono dare priorità alla correlazione e alla contestualizzazione dei risultati sulla sicurezza in una visione unificata, che consenta loro di affrontare in modo efficiente il backlog della sicurezza e di ridurre i rischi più elevati con il minimo sforzo.
“Strumenti come l’Application Security Posture Management consentono ai professionisti della sicurezza e ai team di sviluppo di stabilire le priorità e prendere decisioni informate, individuando ciò che è vulnerabile, facilmente accessibile e più urgente”, conclude Wysopal.
Il report completo “State of Software Security 2025” è disponibile per il download direttamente sulla pagina web di Veracode.
