Un tercio de las aplicaciones contienen al menos un fallo en su primer escaneo
- Seguridad
Los problemas de seguridad del software pueden tener graves consecuencias para las organizaciones, y el estudio anual sobre este tema de Veracode muestra en sus resultados que queda un largo camino de mejora. Sus datos indican que el 32% de las aplicaciones contienen fallos de seguridad en el primer escaneo y, a los cinco años, el porcentaje se eleva al 70%.
|
Recomendados.... » ERPs: cómo implantar SAP/4 HANA Cloud en 12 semanas y a mitad del coste que oferta la industria Guía
|
Tras analizar 750.000 aplicaciones, los autores del estudio de Veracode concluyen que, en el momento en el que pasan a producción, el 32% de las aplicaciones contienen fallos de seguridad en el primer escaneo. Además, suelen ver aumentado su tamaño anualmente en torno al 40%.
A medida que crecen y envejecen, los fallos se acumulan. El resultado es un aumento de la 'deuda' de seguridad, ya que casi el 70% de ella tienen al menos un fallo cuando llevan en productivo cinco años y, a los diez años, el porcentaje con al menos un fallo es del 90%.
El estudio encontró que la capacitación de los desarrolladores, el uso de múltiples tipos de escaneo, incluido el escaneo a través de API, y la frecuencia de escaneo son factores influyentes para reducir la probabilidad de introducción de fallas, lo que sugiere que los equipos deberían convertirlos en componentes clave de sus programas de seguridad de software.
Por ejemplo, saltar meses entre escaneos se correlaciona con una mayor probabilidad de que se encuentren fallos cuando finalmente se ejecute un escaneo. Además, las principales fallas en las aplicaciones varían según el tipo de prueba, lo que destaca la importancia de usar múltiples tipos de escaneo para garantizar que no se pasen por alto las fallas difíciles de identificar.
Juntamente con la formación en seguridad de los desarrolladores y más escaneos, se debe establecer un protocolo de gestión del ciclo de vida de la aplicación, con políticas de gestión de cambios asignación de recursos y control de calidad, que ayuda a determinar la obsolescencia de las aplicaciones.
Otra conclusión de Veracode es que el código abierto puede ser frágil. La comapñía exploró 30.000 repositorios de código abierto encontró que la mitad de las bibliotecas ex tenían al menos cinco años, y el 10% de ellas superaba la marca de la década. Curiosamente, el 10% de los repositorios tuvo su última confirmación (cambio del código fuente) hace unos seis años, y el mismo porcentaje de repositorios tenía solo un desarrollador.
