A pesar de esta baja prevalencia de vulnerabilidades, el sector financiero se está quedando atrás en cuanto a la aplicación de parches
El 30 % de las vulnerabilidades del software de código abierto siguen sin parchearse después de dos años
BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, líder mundial en el suministro de soluciones de análisis de seguridad de aplicaciones, ha publicado hoy datos que muestran que la industria de los servicios financieros se encuentra entre los sectores con el menor porcentaje total de vulnerabilidades en comparación con otras industrias, pero tiene una de las tasas más bajas de remediación de las vulnerabilidades de seguridad del software. El sector se encuentra en la media de las vulnerabilidades de alta gravedad: el índice de aplicaciones con vulnerabilidades significativas es del 18 %, una cifra que sugiere que los proveedores de servicios financieros deberían centrarse en identificar y solucionar las vulnerabilidades más críticas.
Estas conclusiones se recogen en el informe anual State of Software Security versión 12 de la empresa, en el que se examinaron 20 millones de escaneos de medio millón de aplicaciones de los sectores financiero, tecnológico, manufacturero, minorista, sanitario y gubernamental. De estas seis industrias, el sector financiero tenía el segundo porcentaje más bajo de aplicaciones que contenían vulnerabilidades de seguridad, con un 73 %. En el informe del año pasado, el sector financiero encabezó esta clasificación, pero fue superado este año por el sector manufacturero. A pesar de que el número total de vulnerabilidades es menor, el sector de los servicios financieros ocupa el último lugar, junto con los sectores tecnológico y gubernamental, con un bajo porcentaje de vulnerabilidades corregidas.
“Una de las ventajas de que Veracode haya prestado servicio a la comunidad de desarrollo de software durante tantos años es que podemos observar la evolución en el tiempo de las prácticas de desarrollo dentro de las diferentes industrias. Hemos comprobado que las aplicaciones de los servicios financieros sufren menos violaciones de la seguridad que el año pasado, pero que este sector va a la zaga de otros en cuanto al ritmo de reparación. Nuestra investigación ha demostrado que la formación en materia de seguridad puede mejorar significativamente la velocidad de corrección, y que las empresas cuyos equipos de desarrollo recibieron formación sobre aplicaciones del mundo real subsanaron sus fallos a un ritmo un 35 % más rápido que las que no recibieron formación específica”, señala Chris Eng, director de investigación de Veracode.
Asegurar la cadena de suministro global de software
Aunque no cabe duda de que hay margen de mejora tanto en lo que respecta a la prevalencia de las vulnerabilidades como al ritmo de corrección, cuando los proveedores de servicios financieros corrigen sus vulnerabilidades, lo hacen a un ritmo más rápido que los demás.
Según Eng, “en Estados Unidos, la Orden Ejecutiva del Presidente sobre ciberseguridad, además de diversas medidas sobre controles de seguridad en el uso de software de código abierto, como el RGPD y la normativa de ciberseguridad del Departamento de Servicios Financieros de Nueva York, han puesto de manifiesto la importancia de asegurar la cadena de suministro de software. El hecho de que las finanzas sean un sector muy regulado puede explicar en parte la relativa rapidez con la que esta industria ha abordado los problemas de vulnerabilidad descubiertos en las bibliotecas a través del análisis de la composición del software (SCA)”.
Las vulnerabilidades en las bibliotecas de terceros descubiertas por SCA tienden a ser más duraderas en todos los sectores, ya que el 30 % de las vulnerabilidades siguen sin resolverse después de dos años. Sin embargo, cuando se trata de resolver las vulnerabilidades del software de código abierto, el sector financiero corrige al mismo ritmo que otros sectores durante el primer año, pero acelera el ritmo para ganar un mes sobre la media de todos los sectores.
Si bien el sector financiero supera a la mayoría de los demás sectores en cuanto a la rapidez con la que se solucionan las vulnerabilidades descubiertas mediante análisis dinámicos, estáticos y SCA, el informe destaca que todavía hay un margen significativo para seguir mejorando en el número de días necesarios para solucionar el 50 % de las vulnerabilidades: 116 días para el análisis dinámico, 385 días para el SCA y 288 días para el análisis estático. Los componentes de terceros constituyen hasta el 90 %* del código fuente de una aplicación, por lo que el análisis temprano y el uso frecuente de una combinación de tipos de análisis pueden reducir el trabajo de parcheo de emergencia no planificado y limitar el riesgo de introducir fallos de seguridad de terceros en el software.
El informe State of Software Security v12 de Veracode sobre los servicios financieros está disponible para su descarga haciendo clic aquí y se puede ver un vídeo de las conclusiones haciendo en este enlace.
* The Linux Foundation Statista, Joseph Perlow, “A Summary of Census II: Open Source Software Application Libraries the World Depends On”: https://www.statista.com/statistics/617136/digital-population-worldwide/, 7 de marzo de 2022
Acerca del informe State of Software Security
El informe State of Software Security (SoSS) versión 12 de Veracode analizó datos históricos completos de los servicios y clientes de Veracode. Este conjunto representa un total de más de medio millón de aplicaciones (592 720) que utilizan todo tipo de escaneos, más de un millón de escaneos dinámicos (1 034 855), más de cinco millones de escaneos estáticos (5 137 882) y más de 18 millones de escaneos de composición de software (18 473 203). Todos estos análisis produjeron 42 millones de resultados estáticos brutos, 3,5 millones de resultados dinámicos brutos y seis millones de resultados SCA brutos.
Estos datos representan a empresas grandes y pequeñas, proveedores de software comercial, contratistas de software y proyectos de código abierto. En la mayoría de los escaneos, la misma aplicación se contabilizó una sola vez, aunque se presentó varias veces a medida que se parcheaban las vulnerabilidades y se publicaban nuevas versiones.
Acerca de Veracode
Veracode es un socio líder en AppSec para la construcción de software seguro, reduciendo el riesgo de violaciones de seguridad y aumentando la productividad de los equipos de seguridad y desarrollo. Como resultado, las empresas que utilizan Veracode son capaces de avanzar en su negocio y en el mundo. Al combinar la automatización de los procesos, las integraciones, la velocidad y la capacidad de respuesta, Veracode proporciona a las empresas resultados precisos y fiables que les permiten centrar sus esfuerzos en solucionar, y no sólo en encontrar, posibles vulnerabilidades. Más información en www.veracode.com, en el blog de Veracode y en Twitter.
Copyright © 2022 Veracode, Inc. todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas y logotipos son propiedad de sus respectivos dueños. Todas las demás marcas mencionadas en este comunicado son propiedad de sus respectivos dueños.
El comunicado en el idioma original, es la versión oficial y autorizada del mismo. La traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Contacts
Para más información, contacte con:
Katy Gwilliam
kgwilliam@veracode.com