[05/08/2024] Veracode ha anunciado innovaciones en su plataforma para ayudar a las organizaciones a descubrir, priorizar y reducir la deuda de seguridad en su creciente superficie de ataque. Según lo señalado en el comunicado de prensa, Universal Connector y Application Security Heatmap, las dos capacidades más recientes de Longbow con tecnología Veracode, permiten a las organizaciones conectar rápidamente los hallazgos de cualquier fuente y ver las aplicaciones que están contribuyendo al mayor riesgo. Juntos, el conector universal y el mapa de calor de seguridad de aplicaciones proporcionan una visión clara y operativa de los activos y los problemas, lo que permite priorizar las acciones de corrección según el riesgo cuantificable.
"La combinación de una creciente deuda de seguridad, una superficie de ataque en expansión que se vuelve más vulnerable por la IA generativa y un volumen abrumador de alertas de seguridad hace que sea un desafío para las organizaciones saber qué riesgos de aplicaciones priorizar", sostuvo Chris Eng, director de investigación de Veracode. "De hecho, nuestra investigación sobre el estado de la seguridad del software muestra que muchas organizaciones están más enfocadas en remediar fallas de baja gravedad que en fallas críticas. Los líderes de seguridad necesitan tecnología que les permita descubrir y gestionar eficazmente el riesgo de las aplicaciones, y luego reducir ese riesgo centrándose en los problemas que más importan en toda su superficie de ataque".
Priorización de la deuda de seguridad: crítica frente a no crítica
En su informe State of Software Security 2024 Language Snapshot, Veracode reveló la prevalencia variable de deudas de seguridad "críticas" y "no críticas" entre las aplicaciones escritas en diferentes idiomas. Para este informe, la deuda crítica de seguridad se define como fallas de alta gravedad que permanecen sin corregir durante más de un año. Si se explotan, estas fallas pondrían en grave riesgo la integridad y la disponibilidad de las organizaciones.
La investigación encontró que, si bien la mayor parte de la deuda de seguridad existe en código de primera parte escrito por desarrolladores internos, la deuda de seguridad más crítica reside en código de terceros (por ejemplo, software de código abierto importado a la base de código). "Por ejemplo, el 80% de la deuda crítica en las aplicaciones Java y el 63% en las aplicaciones JavaScript está en código de terceros. El informe también encontró que alrededor del 51% de las fallas críticas en las aplicaciones Java se convierten en deuda de seguridad, mientras que solo alrededor del 45% de las fallas bajas a medias se convierten en deuda de seguridad”, comentó el ejecutivo.
Eng anotó que, con el desbordante volumen de fallas de seguridad, los desarrolladores no están priorizando aquellas que presentan el mayor riesgo. "Si bien centrarse en las fallas no críticas puede resultar en algunas soluciones rápidas, los desarrolladores deben usar su capacidad limitada para trabajar en la corrección de fallas críticas con el mayor impacto potencial en la seguridad".
Priorizar la visibilidad y la priorización: Universal Connector & Application Security Heatmap
Sobre la base de la adquisición de Longbow Security por parte de Veracode en abril de este año, y la introducción de la capacidad de análisis y visibilidad de riesgos de repo de Longbow en mayo, Eng señaló que Universal Connector y Application Security Heatmap están diseñados teniendo en cuenta el tiempo de los desarrolladores. "Las capacidades proporcionan supervisión operativa para ayudar a los desarrolladores y equipos de seguridad a identificar y priorizar rápidamente las soluciones más importantes para la creciente deuda de seguridad en sus aplicaciones”.
El ejecutivo comentó que Universal Connector permite a las organizaciones acceder rápidamente a datos de origen dispares que, de otro modo, no podrían incorporar a la plataforma Longbow, lo que significa que no tienen que esperar a un conector específico de la herramienta. "Application Security Heatmap asigna la aplicación al propietario y muestra una tendencia de riesgo de 90 días, además de permitir la personalización del umbral de riesgo para cumplir con la política de la organización. Los equipos de seguridad de aplicaciones y los desarrolladores pueden analizar cada aplicación, ver la distribución del riesgo e implementar recomendaciones sobre la mejor acción siguiente para remediar ese riesgo”.
Universal Connector y Application Security Heatmap están disponibles de inmediato.
Sobre el informe
El informe Veracode State of Software Security 2024 analizó datos de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. La investigación se basa en más de un millón (1.007.133) de aplicaciones en todos los tipos de análisis, 1.553.022 análisis dinámicos y 11.429.365 análisis estáticos. Todos esos escaneos produjeron 96 millones de hallazgos estáticos sin procesar, cuatro millones de hallazgos dinámicos sin procesar y 12,2 millones de hallazgos de análisis de composición de software sin procesar.
Franca Cavassa, CTOPerú