En su primer año de existencia, un tercio de las aplicaciones (32%) tienen fallas de seguridad. Un porcentaje que aumenta hasta el 70% cuando la aplicación tiene cinco años de vida. Los datos llegan de un informe de Veracode, State of Software Security 2023, que asegura que las empresas deben localizar los fallos de software cuanto antes, de manera frecuente y de varias maneras para reducir problemas graves en el futuro.
Para Chris Eng, director de investigación de Veracode, “además de los controles de acceso técnico, las prácticas de codificación segura son aún más cruciales para la ciberseguridad en 2023 y más allá”.
En base al estudio, dice Veracode que después del escaneo inicial, las aplicaciones entran rápidamente en un periodo de estabilidad, y casi el 80% no presenta ningún fallo nuevo durante el primer año y medio. “Sin embargo, después de este punto, la cantidad de fallos nuevos introducidas comienza a aumentar nuevamente a aproximadamente el 35% en cinco años”, aseguran.
La capacitación de los desarrolladores, el uso de múltiples tipos de escaneo, incluido el escaneo a través de API, y la frecuencia de escaneo son factores influyentes para reducir la probabilidad de introducción de fallas, lo que sugiere que los equipos deberían convertirlos en componentes clave de sus programas de seguridad de software.
En su estudio, Veracode también examinó 30 000 repositorios de código abierto alojados públicamente en GitHub. Según la compañía, el 10% de los repositorios no habían tenido un compromiso (un cambio en el código fuente) durante casi seis años.
Hacer frente a la deuda técnica o de seguridad tan pronto como sea posible es una de las acciones que recomiendan los expertos de Veracode, añadiendo que escanear con frecuencia usando una variedad de herramientas ayuda a encontrar y corregir fallas que pueden haberse introducido o acumulado con el tiempo. También recomiendan priorizar la capacitación en automatización y seguridad de los desarrolladores para comprender qué vulnerabilidades es más probable que se introduzcan, así como técnicas para evitar la introducción de fallas por completo. Por último, también proponen establecer un protocolo de gestión del ciclo de vida de la aplicación que incorpore la gestión de cambios, la asignación de recursos y los controles organizativos.
