Veracode revela que la deuda de seguridad crítica puede reducirse en un 75 % con la velocidad de corrección.

Veracode, líder mundial en seguridad de software inteligente, presenta su informe anual sobre el Estado de la seguridad del software (SoSS) 2024, que acentúa el urgente problema de la deuda de seguridad en las aplicaciones. La deuda de seguridad, definida para este informe como los fallos que permanecen sin corregir durante más de un año, está presente en el 42 % de las aplicaciones y en el 71 % de las organizaciones. Lo más preocupante es que el 46 % de las organizaciones tienen fallos persistentes de extrema gravedad que constituyen una deuda de seguridad «crítica», lo que supone un grave riesgo para las empresas en términos de impacto sobre la confidencialidad, la integridad y la disponibilidad.

Según el informe, aproximadamente el 63 % de las aplicaciones tienen fallos en código de origen, mientras que el 70 % contienen fallos en código de terceros importado a través de bibliotecas de terceros. Esto destaca la importancia de probar ambos tipos de código a lo largo del ciclo de vida de desarrollo del software. Los índices de corrección también varían en función del tipo de fallo: la corrección de los fallos de terceros lleva un 50 % más de tiempo, con la mitad de los fallos conocidos corregidos al cabo de 11 meses, frente a los siete meses de los fallos de origen.

Sin embargo, hay buenas noticias: los fallos de seguridad graves en las aplicaciones han disminuido a la mitad desde 2016, lo que indica un progreso en las prácticas de seguridad del software y que la velocidad de corrección tiene un impacto material en la deuda de seguridad crítica.

El SoSS 2024 señala que los equipos de desarrollo que corrigen los fallos con mayor rapidez reducen la deuda de seguridad crítica en un 75 %; del 22,4 % de las aplicaciones a poco más del 5 %. Además, estos equipos que actúan con rapidez tienen cuatro veces menos probabilidades de dejar que la deuda de seguridad crítica se materialice en sus aplicaciones desde el principio.

Chris Eng, director de investigación de Veracode, ha declarado: «Aunque seguimos observando mejoras en el panorama de la seguridad, estos resultados son una llamada de atención para que las organizaciones aborden directamente su deuda de seguridad. Al priorizar la corrección de fallos, centrarse en la seguridad del código de terceros y adoptar prácticas de desarrollo eficientes, las organizaciones pueden reducir significativamente su deuda de seguridad y mejorar el estado general de la seguridad del software en todos los ámbitos».

Cómo abordar la IA y la cadena de suministro de software

En una era en la que la IA (inteligencia artificial) está revolucionando rápidamente el desarrollo de software, el informe resalta una tendencia preocupante. Según Chris, «a pesar de la velocidad y eficiencia que la IA aporta al desarrollo de software, no produce necesariamente código seguro. La investigación ha demostrado que el 36% del código generado por GitHub CoPilot contiene fallos de seguridad». Esta proliferación de código inseguro a gran escala plantea un riesgo significativo para las organizaciones y la cadena de suministro de software, lo que lleva a la acumulación de deuda de seguridad con el paso del tiempo.

There is a lot of buzz around whether AI-generated source code requires special security treatment (or not!). The research paper (https://t.co/BzAi81sBcn) presents a detailed analysis of this topic! #ai #security
— Gaurab Bhattacharjee (@gaur_ab) January 14, 2024

La priorización de riesgos es clave

La investigación de Veracode también concluyó que la capacidad de corrección entre los equipos es limitada, ya que solo el 64 % de las aplicaciones tienen una capacidad de corrección suficiente para eliminar la deuda de seguridad crítica. De hecho, solamente dos de cada diez aplicaciones muestran una tasa media mensual de corrección que supera el diez por ciento de todos los fallos de seguridad. Esto indica que, incluso en los casos en que la capacidad de corrección de los equipos es suficiente, no están dando prioridad a los fallos críticos.

A pesar de ello, hay esperanzas de éxito. Tan solo el tres por ciento de todos los fallos constituyen una deuda de seguridad crítica, y este subconjunto representa la mayor exposición al riesgo de las aplicaciones. Al dar prioridad a ese tres por ciento, las organizaciones pueden lograr la máxima reducción del riesgo con un esfuerzo concentrado.

Chris concluye: «La IA también facilita el camino hacia una nueva frontera en la seguridad del software, ya que permite a las organizaciones ampliar los esfuerzos de corrección y abordar más fácilmente la enorme deuda de seguridad acumulada, así como los nuevos fallos que surjan. La gran mayoría de los CWE (Common Weakness Enumeration) con una calificación de gravedad de media a muy alta pueden abordarse a través de ediciones de código generadas por la IA de Veracode Fix».

El informe completo sobre el Estado de la seguridad del software en 2024 está disponible para su descarga en el sitio web de Veracode. Para acceder al informe y profundizar en las conclusiones y recomendaciones, visite el sitio web. También hay disponible para leer un artículo del blog oficial en el que se resumen las principales conclusiones del informe. Para más información puedes visitar la Web Oficial.