Veracode pubblica il suo nuovo report State of Software Security: la metà delle aziende presenta debiti di sicurezza critici, nel 70% dei casi proveniente da codice di terze parti e dalla supply chain del software

Il tempo necessario per correggere le falle di sicurezza è salito a 8 mesi e mezzo, il 47% in più rispetto a cinque anni fa.

La quindicesima edizione del report identifica cinque metriche chiave per valutare il livello di maturità della sicurezza.

MILANO: Veracode, leader mondiale nella gestione del rischio applicativo, ha lanciato la 15° edizione del suo report State of Software Security (SoSS). Lo studio, basato su rivelazioni condotte su 1,3 milioni di applicazioni uniche e con 126,4 milioni di risultati preliminari, mette in luce le principali tendenze e offre una nuova visione sul livello di maturità della sicurezza del software con l’obiettivo di migliorare la gestione complessiva del rischio applicativo.

La ricerca rivela un preoccupante aumento del tempo medio necessario per risolvere le falle di sicurezza, passato da 171 giorni a 252 giorni negli ultimi cinque anni, con un aumento addirittura del 327% rispetto ai dati del primo report di 15 anni fa. Inoltre, il 50% delle aziende presenta un debito di sicurezza critico, definito come un accumulo di vulnerabilità non risolte da più di un anno. La maggior parte di queste falle proviene da codice di terze parti e dalla supply chain del software. Un debito di sicurezza non risolto espone le aziende ad attacchi informatici, con conseguenti danni reputazionali, finanziari e operativi.

“La superficie di attacco è diventata sempre più articolata, in particolare negli ultimi due anni con l’esplosione dell’AI engineering. Già il report dell’anno scorso aveva rilevato come il 46% delle organizzazioni avesse debiti di sicurezza di alta gravità: se l’aumento annuale può sembrare marginale, è certo che la direzione generale intrapresa è quella sbagliata”, dichiara Chris Wysopal, Chief Security Evangelist di Veracode. “Il nostro studio fornisce solide prove del fatto che le aziende possono essere in grado di risolvere il loro debito di sicurezza, ma hanno bisogno di supporto per definire le priorità delle loro iniziative.”.

Valutazione delle prestazioni di sicurezza

La ricerca di Veracode ha analizzato anche la distribuzione del debito di sicurezza all’interno delle organizzazioni. Se da una parte c’è chi non ha quasi debiti e dall’altra chi invece registra valori molto elevati, la maggior parte si colloca in una via di mezzo, con un mix di applicazioni senza debiti e con debiti.

“Il divario tra il 25% superiore e il 25% inferiore delle organizzazioni è particolarmente interessante”, ha affermato Chris Wysopal. “I risultati sottolineano la necessità di capire quali fattori siano alla base delle marcate differenze nel modo in cui le aziende gestiscono il debito di sicurezza e cosa possano fare i team per affrontarlo”.

La ricerca di Veracode mette in evidenza cinque metriche chiave che indicano il livello di maturità della sicurezza e possono prevedere la capacità di un’azienda di ridurre sistematicamente il rischio: ricorrenza delle vulnerabilità, capacità di correzione, velocità di correzione, diffusione del debito e debito open-source. Il report spiega il ruolo di ogni singola metrica rivelando i parametri che determinano se un’organizzazione è leader o invece si sta muovendo in ritardo.

• Ricorrenza delle vulnerabilità: le aziende leader presentano falle in meno del 43% delle applicazioni, mentre quelle “in ritardo” superano l’86%.
• Capacità di correzione: ogni mese i leader risolvono oltre il 10% delle falle presenti, mentre quelle “in ritardo” ne risolvono meno dell’1%.
• Velocità di correzione: i “leader” del settore correggono la metà delle vulnerabilità in cinque settimane, mentre le organizzazioni “in ritardo” ci mettono più di un anno.
• Diffusione del debito di sicurezza: meno del 17% delle applicazioni nelle aziende “leader” presenta un debito di sicurezza, rispetto a più del 67% di quelle “in ritardo”.
• Debito open-source: le organizzazioni “leader” hanno un debito critico open-source inferiore al 15%, mentre in quelle “in ritardo” il 100% del debito critico è di origine open-source.

“La ricerca offre uno scenario interessante per le aziende che vogliono valutare la propria maturità in materia di sicurezza. In questo modo è possibile comprendere i fattori specifici che contribuiscono al debito di sicurezza, valutare l’importanza di ciascuna metrica e confrontare le proprie prestazioni con quelle di organizzazioni simili”, ha commentato Chris Wysopal. “Offriamo poi indicazioni approfondite da parte dei nostri esperti e di aziende leader su come migliorare questo aspetto.”

Le regolamentazioni informatiche promuovono comportamenti virtuosi, incrementando la sicurezza delle applicazioni

La ricerca di Veracode ha rilevato che il tasso di applicazioni che superano la Top 10 dell’Open Worldwide Application Security Project (OWASP) è aumentato del 63% negli ultimi cinque anni ed è più che raddoppiato in 15 anni. Le nuove normative sulla cybersecurity dello scorso anno, come la sentenza della Securities and Exchange Commission (SEC) degli Stati Uniti e il Cyber Resilience Act dell’Unione Europea, hanno contribuito a questa tendenza, in quanto i fornitori di software adottano un approccio più disciplinato alla gestione del rischio.

Una nuova prospettiva sul livello di maturità della sicurezza

La nuova visione di Veracode sulla maturità della sicurezza del software sottolinea la necessità per le aziende di adottare un approccio strategico e orientato al contesto per gestire i rischi più urgenti e potenzialmente vulnerabili. Il report raccomanda alle aziende due aree chiave su cui concentrarsi. In primo luogo, devono migliorare la visibilità e l’integrazione nell’intero ciclo di vita dello sviluppo del software, utilizzando automazione e cicli di feedback per prevenire nuove falle di sicurezza. In secondo luogo, devono dare priorità alla correlazione e alla contestualizzazione dei risultati sulla sicurezza in una visione unificata, che consenta loro di affrontare in modo efficiente il backlog della sicurezza e di ridurre i rischi più elevati con il minimo sforzo.

“Strumenti come l’Application Security Posture Management consentono ai professionisti della sicurezza e ai team di sviluppo di stabilire le priorità e prendere decisioni informate, individuando ciò che è vulnerabile, facilmente accessibile e più urgente”, ha concluso Chris Wysopal.

Se le aziende si muovono all’interno di un panorama di minacce sempre più articolato, dare priorità alla maturità della sicurezza è essenziale. La ricerca di Veracode fornisce una roadmap per le aziende al fine di effettuare analisi comparative e migliorare la loro posizione di sicurezza. Affrontando il debito di sicurezza e utilizzando gli strumenti e le best practice, è possibile per loro migliorare la resilienza, ridurre il rischio e rispettare le normative di cybersecurity in costante evoluzione.

Il report completo “State of Software Security 2025” è disponibile per il download direttamente sulla pagina web di Veracode. È inoltre possibile consultare il blog che illustra i principali risultati della ricerca.

State of Software Security Report

Veracode State of Software Security 2025 è la 15° edizione del report, basato sull’analisi di dati di aziende di tutte le dimensioni, fornitori di software professionale, outsourcer di software e progetti open source. Il report contiene i risultati relativi alle applicazioni che sono state sottoposte ad analisi statica, analisi dinamica, analisi della composizione del software e/o test di penetrazione manuale attraverso la piattaforma cloud-based di Veracode. In particolare, i dati provengono da:

• 1,3 milioni di applicazioni uniche con 126,4 milioni di risultati preliminari
• 107,4 milioni di risultati identificati tramite scansioni SAST
• 3,9 milioni di risultati identificati tramite scansioni DAST
• 15 milioni di risultati identificati tramite l’analisi della composizione del software

Veracode

Veracode è leader mondiale nella gestione del rischio applicativo nell’era dell’intelligenza artificiale. Alimentata da trilioni di linee di scansioni di codice e da un motore di remediation proprietario assistito da intelligenza artificiale, la piattaforma Veracode ha la fiducia di aziende di tutto il mondo per costruire e mantenere il software sicuro, dalla creazione del codice alla distribuzione nel cloud. Migliaia di team di sviluppo e sicurezza leader a livello mondiale utilizzano Veracode ogni secondo, ogni giorno, per ottenere visibilità accurata e fattibile del rischio di exploit, correzione delle vulnerabilità in tempo reale e per ridurre il debito di sicurezza su scala. Veracode è un’azienda pluripremiata che offre funzionalità per la sicurezza dell’intero ciclo di vita dello sviluppo del software, tra cui Veracode Fix, analisi statica, analisi dinamica, analisi della composizione del software, sicurezza dei container, gestione della postura di sicurezza delle applicazioni e penetration test.

Per saperne di più, visitate il sito www.veracode.com, il blog di Veracode, LinkedIn e Twitter.

Copyright © 2025 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio registrato di Veracode, Inc. negli Stati Uniti e può essere registrato in alcune altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o loghi appartengono ai rispettivi proprietari. Tutti gli altri marchi citati nel presente documento appartengono ai rispettivi proprietari.

Fonte: Business Wire

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.