En su primer año de existencia, un tercio de las aplicaciones (32 %) tienen fallas de seguridad y, a la edad de cinco años, este número aumenta a más de dos tercios (70 %), según una nueva investigación.
Un nuevo informe de Veracode encontró que las empresas deben buscar fallas temprano, a menudo y de varias maneras, para minimizar las posibilidades de problemas graves en el futuro.
La empresa analizó más de las tres cuartas partes de un millón de aplicaciones de proveedores de software comercial, subcontratistas de software y proyectos de código abierto y descubrió que después de la introducción inicial de fallas, las aplicaciones generalmente entran en un «período de luna de miel» de estabilidad: casi el 80 %. no introduzca ningún defecto nuevo durante el primer año y medio.
Errores costosos
Después de eso, algunos desarrolladores comienzan a volverse descuidados nuevamente, y la cantidad de nuevas fallas que se introducen en el código aumenta a aproximadamente el 35% después de cinco años.
Ignorar para abordar las fallas de seguridad de manera temprana podría generar costos enormes en el futuro, dice Veracode, citando informes recientes que afirman que una violación de datos promedio ahora cuesta $ 4.35 millones.
En su lugar, los desarrolladores deben hacer una serie de cosas para reducir la probabilidad de que se introduzcan fallas, incluida la capacitación de desarrolladores y el uso de múltiples tipos de escaneo, incluido el escaneo a través de API.
La frecuencia de los escaneos también es un factor importante, agregó la compañía. Además, deben abordar la deuda técnica y de seguridad lo antes y lo más rápido posible, priorizar la automatización y la capacitación en seguridad del desarrollador, y establecer un protocolo de administración del ciclo de vida de la aplicación que incorpore la administración de cambios, la asignación de recursos y los controles organizacionales.
“Usar una solución de análisis de composición de software (SCA) que aproveche múltiples fuentes de fallas, más allá de la base de datos nacional de vulnerabilidades, brindará una advertencia anticipada a los equipos una vez que se revele una vulnerabilidad y les permitirá implementar salvaguardas más rápidamente, con suerte antes de que comience la explotación”, dijo. Chris Eng, director de investigación de Veracode.
«También se recomienda establecer políticas organizacionales en torno a la detección y gestión de vulnerabilidades, así como considerar formas de reducir las dependencias de terceros».