El 72 % de las aplicaciones contienen vulnerabilidades, de las cuales el 12 % están calificadas como de “alta gravedad”. Es el porcentaje más bajo de todos los sectores analizados.
Sin embargo, hay margen de mejora en el sector; tiene la tasa de reparación más baja y el tiempo de reparación más largo, especialmente para las vulnerabilidades de código abierto.
BURLINGTON, Massachusetts–(BUSINESS WIRE)–Veracode, proveedor líder mundial de soluciones de pruebas de seguridad de aplicaciones, ha revelado hoy que el sector manufacturero es el que presenta el menor número de vulnerabilidades de seguridad en el software, superando así a los servicios financieros, que estaban a la cabeza el año pasado. Estos datos se recogen en el informe State of Software Security (SoSS) verisón 12, el documento que la empresa publica anualmente. Para el informe de este año se han analizado 20 millones de escaneos que abarcan medio millón de aplicaciones en los sectores de la fabricación, la sanidad, los servicios financieros, la tecnología, la administración y el comercio.
La industria manufacturera está luchando para hacer frente a la creciente presión y demanda en la cadena de suministro. Es el sector más atacado por los ciberdelincuentes en 2021, con la explotación de vulnerabilidades identificada como el vector de ataque primario más importante*. Desde que normativas como la Orden ejecutiva de ciberseguridad de Estados Unidos y la Ley de ciberresiliencia de la UE han puesto el tema en el punto de mira, asegurar la cadena de suministro de software es ahora más importante que nunca.
Chris Eng, director de investigación de Veracode, ha comentado: “Es alentador que el número de vulnerabilidades de la seguridad haya disminuido durante el último año, ya que las empresas manufactureras siguen dando gran prioridad a la seguridad de los programas informáticos, sobre todo porque la innovación tecnológica ha llevado a una mayor adopción de nuevas plataformas y entornos. El año pasado, descubrimos que el 76 % de las aplicaciones de la industria manufacturera contenían vulnerabilidades de seguridad, de las cuales el 21 % estaban calificadas como de “alta gravedad”. Estas cifras han disminuido considerablemente”.
Las vulnerabilidades del código abierto se prolongan más tiempo
A pesar de los resultados positivos en cuanto a la frecuencia de las vulnerabilidades de seguridad, la investigación de Veracode desveló que la industria manufacturera, junto con la sanidad y la tecnología, tiene el menor porcentaje de vulnerabilidades de seguridad que se solucionan una vez descubiertas. Más preocupante aún es el tiempo que se tarda en corregir las vulnerabilidades de seguridad: el sector manufacturero es uno de los que más se demora en corregir las vulnerabilidades detectadas mediante el análisis estático (SAST), el análisis dinámico (DAST) y el análisis de la composición del software (SCA). Por ejemplo, alrededor del 55 % de las vulnerabilidades detectadas mediante análisis estático no se han corregido al cabo de un año. La industria manufacturera lleva siempre cuatro meses de retraso con respecto a la media general.
Las vulnerabilidades de seguridad en las bibliotecas de terceros encontradas por SCA duran más tiempo en todas las industrias: para el 30 % de las bibliotecas vulnerables, las vulnerabilidades de seguridad aún no se han corregido después de dos años. En la industria manufacturera, esta cifra se eleva a más del 40 %, con más de seis meses de retraso respecto a la media del sector.
“Esto puede atribuirse en parte a un mayor número de aplicaciones industriales especializadas que tienen menos vulnerabilidades de seguridad, pero más difíciles de solucionar, que en otras industrias. Estos resultados ponen de manifiesto la necesidad de que las empresas de fabricación se centren en solucionar las vulnerabilidades de seguridad a tiempo”, continúa Eng.
Algunas vulnerabilidades de seguridad se producen con más frecuencia que otras
La investigación también analizó los tipos de vulnerabilidades en los lenguajes de programación utilizados para las aplicaciones en la industria manufacturera, incluyendo Java, .NET y JavaScript. La investigación de Veracode analizó los diferentes tipos de vulnerabilidades que se producen en cada aplicación. Descubrió que la configuración del servidor, las dependencias inseguras y las fugas de datos se encontraban entre las vulnerabilidades más comúnmente descubiertas en la industria manufacturera.
“La seguridad de las empresas y de las infraestructuras críticas depende en gran medida de la seguridad de la cadena de suministro de software. Esto sólo puede lograrse vigilando los componentes individuales. La integración de las consideraciones de seguridad en los procesos de desarrollo de software desde el principio y la utilización de herramientas para crear una lista de materiales de software (SBOM) ofrece a las empresas de fabricación la confianza de que los productos que lanzan al mercado tendrán menos vulnerabilidades y, por tanto, menos riesgos”, concluye Eng.
Puede descargar un resumen del informe State of Software Security versión 12 de Veracode sobre fabricación aquí y ver el informe completo aquí.
* IBM Security, “X-Force Threat Intelligence Index”, febrero 2022
Acerca del informe State of Software Security
El informe State of Software Security (SoSS) versión 12 de Veracode analizó datos históricos completos de los servicios y clientes de Veracode. Este conjunto representa un total de más de medio millón de aplicaciones (592 720) que utilizan todo tipo de escaneos, más de un millón de escaneos dinámicos (1 034 855), más de cinco millones de escaneos estáticos (5 137 882) y más de 18 millones de escaneos de composición de software (18 473 203). Todos estos análisis produjeron 42 millones de resultados estáticos brutos, 3,5 millones de resultados dinámicos brutos y seis millones de resultados SCA brutos.
Estos datos representan a empresas grandes y pequeñas, proveedores de software comercial, contratistas de software y proyectos de código abierto. En la mayoría de los escaneos, la misma aplicación se contabilizó una sola vez, aunque se presentó varias veces a medida que se parcheaban las vulnerabilidades y se publicaban nuevas versiones.
Acerca de Veracode
Veracode es un socio líder en AppSec para la construcción de software seguro, reduciendo el riesgo de violaciones de seguridad y aumentando la productividad de los equipos de seguridad y desarrollo. Como resultado, las empresas que utilizan Veracode son capaces de avanzar en su negocio y en el mundo. Al combinar la automatización de los procesos, las integraciones, la velocidad y la capacidad de respuesta, Veracode proporciona a las empresas resultados precisos y fiables que les permiten centrar sus esfuerzos en solucionar, y no sólo en encontrar, posibles vulnerabilidades. Más información en www.veracode.com, en el blog de Veracode y en Twitter.
Copyright © 2022 Veracode, Inc. todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas y logotipos son propiedad de sus respectivos dueños. Todas las demás marcas mencionadas en este comunicado son propiedad de sus respectivos dueños.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Contacts
Katy Gwilliam
kgwilliam@veracode.com