Mercati

Veracode, il punto sulla sicurezza applicativa

Alcuni dati del Rapporto SOSS (State of Software Security) mostrano che le organizzazioni che fanno test e risanamento stanno ponendo le priorità sulle peggiori vulnerabilità, riducendo la densità dei difetti nella fascia dei problemi di gravità elevata e molto elevata; ciononostante, solo il 14% dei difetti più gravi è risolto in meno di un mese, mentre quasi il 12% delle applicazioni presenta almeno un difetto di severità elevata o molto elevata

Pubblicato il 19 Giu 2018

Concetto di sicurezza applicativa: lente di ingrandimento che trova una vulnerabilità

La sicurezza applicativa aziendale è oggi un mondo dicotomico, in cui alcuni progressi e aspetti positivi si contrappongono a uno scenario complessivo ancora passibile di ampi miglioramenti: a scattare una fotografia aggiornata del settore è il rapporto SOSS (State of Software Security) presentato di recente da Veracode, azienda acquisita nel 2017 da CA Technologies. I risultati emersi dalla ricerca derivano dall’analisi di circa 250 miliardi di linee di codice, nel corso di 400mila scansioni di valutazione eseguite su un periodo di dodici mesi, tra il 1° aprile 2016 e il 31 marzo 2017.

Il settore AppSec (application security) attiene alla sicurezza del software, ed è una realtà dicotomica perché se, da un lato, ci sono costanti progressi a livello del numero di difetti riscontrati per MB (megabyte) di codice, dall’altro rimane un grande spazio di manovra per mitigare i fattori di rischio delle applicazioni.

Due terzi delle applicazioni non passano i test di vulnerabilità

Nonostante si possa supporre che una crescente consapevolezza dei temi di security nella comunità degli sviluppatori abbia condotto al miglioramento delle best practice quotidiane, un primo dato eloquente, e non confortante, riguarda la percentuale di applicazioni che riescono a superare con successo il test della prima scansione per le vulnerabilità: in base agli ultimi dati, circa il 70% delle applicazioni fallisce il test di sicurezza, quando viene valutato rispetto ai principali standard del settore per l’analisi delle vulnerabilità. Nel caso specifico, (figura 1) si fa riferimento al tasso di superamento, nel 2017, del test della guida OWASP Top 10, stilata dall’organizzazione non-profit OWASP (Open Web Application Security Project) per fornire, agli sviluppatori e ai professionisti della sicurezza, indicazioni sulle dieci vulnerabilità più critiche, comunemente riscontrate nelle applicazioni web. Si tratta di vulnerabilità facili da sfruttare, e pericolose, perché possono permettere agli attaccanti di introdurre malware, sottrarre dati, o di acquisire il completo controllo di computer e server web. L’anno scorso solo il 30,2% delle applicazioni ha superato il test, contro il 38,6% dell’anno precedente. E, nel complesso, il livello di consapevolezza della security all’interno della comunità di sviluppatori rimane tale, che la maggior parte di essi continua a commettere gli stessi errori ‘security-related’ che si facevano diversi anni fa.

Figura 1 – Nel 2017, circa il 70% delle applicazioni ha fallito il test di sicurezza alla prima scansione. Il lato positivo, come risulta dalle percentuali, è che dal 2010 è stato compiuto qualche progressoFonte: SOSS report 2018, Veracode

Categorie di vulnerabilità: la ‘top ten’ resta invariata

Dal rapporto SOSS risulta anche che il 36% delle organizzazioni non esegue alcun tipo di test SAST (static analysis security testing) o non sa se viene effettuato, e che il 48% non pratica nessun collaudo DAST (dynamic analysis security testing); ancora, l’83% delle organizzazioni ha rilasciato codice senza prima collaudarlo o risolvere problemi di sicurezza. E le stesse dieci categorie di vulnerabilità individuate nel 2016 si ritrovano, con qualche piccola variazione, anche nella classifica delle ‘top 10’ del 2017 (figura 2). In prima posizione ci sono le vulnerabilità che causano perdite di informazioni (65,8%), perché pongono l’applicazione nella potenziale condizione di esporre e rivelare dati sensibili, relativi all’applicazione stessa, all’ambiente o all’utente. Subito dopo, in seconda posizione, si classificano i difetti di cifratura (61,5%), che includono una serie di pratiche crittografiche rischiose, come l’utilizzo di algoritmi di cifratura corrotti, la validazione in modo improprio di certificati, la memorizzazione di informazioni sensibili con testo in chiaro, o l’applicazione di algoritmi di cifratura non sufficientemente robusti. Al terzo posto si posiziona la qualità del codice (56,2%), i cui problemi hanno impatto sulla sicurezza dell’applicazione.

Grafico che descrive Le principali categorie di vulnerabilità nel 2016 e nel 2017
Figura 2 – Le principali categorie di vulnerabilità del 2016 si riconfermano anche nel 2017: al primo posto si classificano le vulnerabilità che causano perdite di informazioniFonte: SOSS report 2018, Veracode

Impatto positivo dei programmi AppSec

Attivare un programma di collaudo applicativo può aiutare un’organizzazione a cominciare il percorso di eliminazione dei difetti del software, come indicano i dati del rapporto, quando si va ad analizzare il tasso di superamento del test OWASP Top 10, confrontando i risultati della prima scansione per le vulnerabilità con quelli della scansione più recente (figura 3). Nel periodo coperto dal Rapporto, il tasso di superamento del test risulta essere migliorato, passando, dal 30,2% ottenuto sulla scansione iniziale, al 34,1% rilevato dopo l’ultima scansione: una differenza percentuale di quattro punti, che avvalora le pratiche di regolare collaudo e risanamento dei difetti.

Figura 3 – Il miglioramento del tasso di superamento del test di sicurezza nell’ultima scansione, rispetto a quella iniziale, comprova la validità delle pratiche di collaudo e correzione del codiceFonte: SOSS report 2018, Veracode

Lo studio scava però più in profondità, e pur considerando il quadro basilare di miglioramento del tasso di superamento dei test nel suo complesso, precisa che, alla fine, un valido piano di gestione delle vulnerabilità va basato sulla prioritizzazione delle attività di risanamento in funzione del rischio. E, da questo punto di vista, la percentuale di applicazioni che rivelano almeno una vulnerabilità di qualsiasi gravità, sia alla scansione iniziale, sia a quella finale, risulta essere ancora elevata, e vicina al 77% (figura 4).

Figura 4 – Sia alla scansione iniziale, sia a quella finale, la percentuale di applicazioni che accusano una vulnerabilità di qualsiasi gravità è ancora altaFonte: SOSS report 2018, Veracode

Effetto DevOps

Un altro aspetto sottolineato dal rapporto di Veracode è l’influenza positiva che le metodologie DevOps hanno sulla capacità di risolvere i difetti del software in una fase più iniziale del processo di sviluppo: in effetti, i dati della ricerca mostrano una transizione verso l’adozione delle pratiche DevSecOps, cioè quelle che puntano a integrare le politiche di security all’interno dei processi DevOps. Scansioni delle applicazioni molto frequenti sono un segno che un’organizzazione sta impegnandosi nell’attuazione di modelli Agile o DevOps nella fornitura del software e, non a caso, i dati del Rapporto SOSS indicano che la maggioranza dei clienti di Veracode sta eseguendo scansioni applicative più frequentemente degli altri (figura 5). In questa prospettiva di crescente consolidamento e peso delle pratiche DevOps, la ricerca segnala che i team di security ricoprono sempre più il ruolo di partner e consulenti esperti, piuttosto che quello di ‘tester’ e controllori della compliance: ciò significa, conclude il Rapporto, che gli sviluppatori stanno assumendo maggiori responsabilità, sia nella fase di test della sicurezza sia in quella di ‘remediation’, e che i professionisti della security dovrebbero fare tutto il possibile per aiutarli a comprendere i risultati dei test e a programmare le politiche di risanamento.

Figura 5 – Nel 2017, il 36,5% delle applicazioni è stato sottoposto a una sola scansione l’anno, contro il 38,5% dell’anno precedenteFonte: SOSS report 2018, Veracode

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4