Durante este mes de febrero ha presentado Veracode su informe anual State of Software Security (SoSS) 2024 en el que habla del estado del código y de la Deuda de Seguridad de las aplicaciones, considerada como aquellos fallos que permanecen sin corregir durante más de un año. En base a este concepto, asegura la compañía que más del 70 % de las organizaciones enfrentan deudas de seguridad y casi el 50 % enfrentan deudas “críticas”. Asegura la compañía en su informe que es preocupante que el 46 por ciento de las organizaciones tenga fallos persistentes y de alta gravedad, “lo que pone a las empresas en grave riesgo en términos de impacto en la confidencialidad, la integridad y la disponibilidad”.
Recoge el informe que cerca del 63 por ciento de las aplicaciones tienen fallos en el código propio, mientras que el 70 por ciento contiene fallos en el código de terceros importado a través de bibliotecas externas. “Esto resalta la importancia de probar ambos tipos durante todo el ciclo de vida del desarrollo de software”, aseguran desde la compañía, añadiendo que las tasas de corrección también varían según el tipo de fallo: reparar los fallos de terceros lleva un 50 por ciento más de tiempo; la mitad de los fallos conocidos se corrigen después de once meses, frente a los siete meses que lleva corregir los fallos propios.
Las buenas noticias es que los fallos de de seguridad de alta gravedad en las aplicaciones se han reducido a la mitad desde 2016, lo que indica avances en las prácticas de seguridad del software y que la velocidad de remediación tiene un impacto material en la deuda de seguridad crítica.
Hablando en términos de deuda, recoge el SoSS 2024 que los equipos de desarrollo que solucionan fallos más rápidamente reducen la deuda de seguridad crítica en un 75 por ciento. Según Chris Eng, director de investigación de Veracode, al priorizar la corrección de fallos, centrándose en terceros “las organizaciones pueden reducir significativamente su deuda de seguridad y mejorar el estado general de la seguridad del software en todos los ámbitos”.
En una era en la que la IA (inteligencia artificial) está revolucionando rápidamente el desarrollo de software, destaca Chris Eng que, a pesar de la velocidad y eficiencia que la IA aporta al desarrollo de software, “no necesariamente produce código que sea seguro. Las investigaciones han demostrado que el 36 por ciento del código generado por GitHub CoPilot contiene fallos de seguridad”. Esta proliferación de código inseguro a escala plantea un riesgo significativo para las organizaciones y la cadena de suministro de software, lo que conduce a la acumulación de deuda de seguridad con el tiempo.
La investigación de Veracode también encontró que la capacidad de remediación entre los equipos está limitada, ya que solo el 64 por ciento de las aplicaciones tienen una capacidad de remediación suficiente para eliminar la deuda de seguridad crítica.
