Nonostante la bassa incidenza di difetti, il settore finanziario è indietro sul tasso di risoluzione. Il 30 percento dei difetti open-source rimane irrisolto dopo due anni
Veracode, uno dei principali fornitori globali di test di sicurezza delle applicazioni, oggi ha pubblicato dati che rivelano che il settore dei servizi finanziari è classificato tra i migliori per percentuale totale di difetti rispetto agli altri settori, ma ha uno dei tassi di risoluzione dei problemi più bassi. Il settore inoltre si posiziona a metà del gruppo per i difetti gravi, con il 18 percento delle applicazioni che contiene un’elevata vulnerabilità, il che suggerisce che le società finanziarie dovrebbero dare priorità all’identificazione e risoluzione di difetti con maggiore importanza.
Le scoperte sono state identificate nel rapporto annuale dell’azienda State of Software Security report v12, che ha analizzato 20 milioni di scansioni in mezzo milione di applicazioni nei settori finanziario, tecnologico, manifatturiero, sanitario e governativo e della vendita al dettaglio. Di tutti i sei settori, quello finanziario ha la penultima percentuale (73 percento) della classifica di applicazioni contenenti difetti di sicurezza. Nel rapporto dello scorso anno, il settore vantava il più basso numero di difetti di sicurezza nel software in tutti i settori, ma nello studio di quest’anno la posizione è stata superata dall’industria manifatturiera. Nonostante il minor numero complessivo di difetti, il settore dei servizi finanziari condivide la posizione in classifica con il settore tecnologico e governativo per numero più basso di difetti risolti.
“Uno dei vantaggi del servire la comunità di sviluppo del software da così tanti anni è che Veracode è in grado di vedere i cambiamenti nelle pratiche di sviluppo in tutti i settori nel tempo. Abbiamo constatato che mentre le applicazioni dei servizi finanziari hanno meno difetti di sicurezza rispetto all’anno scorso, il settore è indietro rispetto alle altre industrie per quanto riguarda il tasso di risoluzione. La nostra ricerca ha dimostrato che la formazione alla sicurezza è in grado di migliorare significativamente le velocità di risoluzione, e che le aziende i cui team di sviluppo avevano completato la formazione diretta utilizzando applicazioni in tempo reale aveva risolto difetti con una rapidità del 35 percento superiore rispetto a chi non aveva ricevuto questa formazione”, ha dichiarato Chris Eng (in foto), Direttore della ricerca presso Veracode.
Rendere sicura la filiera del software a livello globale
Mentre c’è indubbiamente ancora spazio per progredire in termini di prevalenza dei difetti e tassi di risoluzione, quando le società di servizi finanziari risolvono le vulnerabilità, esse agiscono a un ritmo più rapido rispetto alle altre.
Eng ha affermato, “L’ordine esecutivo statunitense sulla Cybersecurity, assieme ai mandati sui controlli di sicurezza relativi all’utilizzo dell’open-source, come il GDPR e il Regolamento sulla Cybersecurity del Dipartimento dei Servizi Finanziari di New York, ha evidenziato l’importanza di proteggere la catena di fornitura del software. Essere un settore altamente regolato aiuta a spiegare la relativa rapidità del settore finanziario nell’affrontare librerie vulnerabili attraverso l’analisi della composizione software (SCA).”
I difetti nelle librerie terze parti identificati attraverso SCA tendono a permanere più a lungo nelle industrie, con il 30 percento ancora irrisolto dopo due anni. Quando si tratta di affrontare vulnerabilità open-source, tuttavia, il settore finanziario risolve con la stessa rapidità di altri settori per il primo anno, ma poi accelera il ritmo per guadagnare un mese sulla media di tutti i settori.
Sebbene il settore finanziario superi per prestazioni la maggior parte delle altre industrie nei tempi di risoluzione di difetti rilevati in dinamica, SCA e statica, lo studio ha scoperto che c’è ancora molto da fare per continuare a migliorare, considerando il numero di giorni necessario per risolvere il 50 percento dei difetti—116 giorni per l’analisi dinamica, 385 giorni per la SCA, e 288 giorni per l’analisi statica. Con i componenti di terze parti che comprendono fino al 90 percento* del codice di un’applicazione, la scansione precoce e frequente utilizzando una combinazione di tipi di test riduce gli interventi di risoluzione di emergenza e mitiga il rischio di introdurre difetti di sicurezza di terze parti nel software.