5 nov. 2020

Estado de la Seguridad en las Aplicaciones [Veracode]

El volumen 11 del informe "State of Software Security" de Veracode [PDF] encontró que el 76% de las aplicaciones tienen al menos una vulnerabilidad, y que la mitad de los hallazgos de seguridad siguen abiertos 6 meses después del descubrimiento.

También descubrieron que casi un tercio de todas las aplicaciones tienen más hallazgos de seguridad en bibliotecas de terceros que el código base nativo. Con respecto a las acciones que tienen un efecto positivo significativo en la seguridad del software, encontraron que el escaneo frecuente, el uso de más de un tipo de prueba y el escaneo a través de API reducen el tiempo para cerrar la mitad de los hallazgos de seguridad en varias semanas. Para ver más de las principales conclusiones del informe de este año, consulte la infografía.

Naturaleza vs Desarrollo

¿Qué conduce al estado de la seguridad del software? ¿La naturaleza de las aplicaciones o su desarrollo? ¿Son los atributos de la aplicación lo que hereda el desarrollador (la deuda de seguridad, su tamaño) o las acciones de los desarrolladores; la frecuencia con la que escanean en busca de seguridad o cómo la seguridad se integra en sus procesos?.

Y si se trata de la "naturaleza", ¿hay algo que los desarrolladores o los profesionales de la seguridad puedan hacer para mejorar los resultados de seguridad? La investigación de este año descubrió algunos datos sorprendentes y prometedores en torno a las formas de "nutrir" la seguridad de las aplicaciones, incluso si la "naturaleza" no es la ideal.

Vulnerabilidades por lenguaje

La elección del lenguaje de programación afecta la seguridad del software. Lo interesante del desglose del lenguaje fue el hecho de que el tipo de falla más común era diferente para cada uno. El tipo de falla más común en las aplicaciones .NET fue la fuga de información, mientras que, para PHP se trata de Cross-Site Scripting (XSS) y de inyección CRLF para aplicaciones Java.

Detalles de los tipos de fallas más comunes de acuerdo al lenguaje.

Fuente: Veracode

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!