El bajo porcentaje de arreglos destaca la necesidad de vigilancia en la seguridad del software de los distribuidores conforme se acerca el Black Friday
BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, uno de los principales proveedores del mundo de soluciones de comprobación de seguridad para aplicaciones modernas, ha publicado hoy que casi tres cuartas partes de las aplicaciones del sector minorista y hostelero contienen fallos de seguridad, pero solo se arregla el 25 % de estas. Además, el 17 % de estos fallos se clasifican como «muy graves», es decir, suponen una grave amenaza para la empresa si se aprovechan. Teniendo en cuenta que el 76 % de los estadounidenses tienen previsto comprar en las rebajas del Black Friday el 25 de noviembre* (y el 56 % planea hacerlo exclusivamente por internet)**, los distribuidores deben reforzar especialmente la seguridad de sus sistemas de comercio electrónico, sus plataformas digitales de pago y sus cadenas de suministro.
Los datos se publicaron en el informe sobre el estado de la seguridad del software (SoSS) v12 de Veracode, que analizó 20 millones de análisis de medio millón de aplicaciones de los sectores de comercio minorista, industrial, sanitario, tecnológico, público y de servicios financieros.
Según Chris Eng, director de investigación de Veracode, «mantener la lealtad y confianza de los clientes es la principal prioridad de los distribuidores, y esto se intensificará durante el Black Friday. Teniendo en cuenta que se calcula que el coste de una violación de datos en el sector minorista es de 3,28 millones de USD***, es vital poner en marcha herramientas y prácticas robustas para proteger las aplicaciones que utilizan los clientes para buscar artículos y comprarlos».
A pesar del número relativamente bajo de fallos de seguridad que se arreglan, el sector minorista ocupa el segundo puesto en cuanto a solución de fallos, lo que demuestra la necesidad de mejorar la seguridad en las empresas de todos los sectores. En palabras de Eng, «en comparación con otros sectores, los distribuidores se preocupan más por arreglar fallos cuando estos se descubren. Aunque esto es prometedor, está claro que hay que hacer más de forma global para integrar la detección y solución de fallos en el proceso de desarrollo de software para que se puedan abordar las vulnerabilidades con más eficacia».
La configuración de los servidores, la inseguridad de las dependencias y los problemas de autentificación son los tipos más habituales de fallos en las aplicaciones de la mayor parte de los sectores. Los sectores minorista y hostelero siguen un patrón similar, pero aquí los porcentajes son más elevados en casi todas las categorías de fallos, quizás debido a la mayor complejidad funcional de las aplicaciones dirigidas al cliente e internas.
Los tiempos de arreglo de fallos varían en el sector minorista
Veracode ha examinado tres tipos diferentes de análisis para generar comparaciones de tiempos de arreglo en el sector: comprobación de seguridad de análisis dinámico (DAST), comprobación de seguridad de análisis estático (SAST) y análisis de composición de software (SCA). Se halló que los distribuidores abordan con mayor rapidez los fallos descubiertos por DAST, con 70 días para alcanzar el punto intermedio, lo cual supera en la increíble cifra de 46 días a los servicios financieros, situados en segundo lugar. Sin embargo, en cuanto a SAST y SCA, el sector minorista queda en la mitad de la clasificación, ya que tarda 346 y 470 días, respectivamente, en alcanzar el punto intermedio de arreglo.
En todos los sectores, los fallos en bibliotecas de terceros descubiertos por medio de SCA perduran más que los hallados con SAST y DAST, y un 30 % de las bibliotecas vulnerables siguen sin solución dos años después. En el sector minorista, la estadística alcanza el 35 % y tiene un desfase con respecto a la media de todos los sectores de más de seis meses. Sin embargo, conviene asegurar a los distribuidores que cualquier desfase puede reducirse, por amplio que sea. De hecho, el informe sobre el estado de la seguridad del software de 2021 de Veracode halló que el 95 % de los fallos de código abierto pueden arreglarse con una sencilla actualización, lo cual son buenas noticias para los distribuidores que quieran proteger sus cadenas de suministro de software.
Conforme se acerca el Black Friday, y casi un año después de que se detectase por primera vez la infame vulnerabilidad Log4j, los distribuidores estarán en alerta máxima para mantener la velocidad, eficacia y seguridad de sus aplicaciones. Las empresas deben tomar precauciones adicionales para descubrir vulnerabilidades en el software de terceros con una combinación de SCA y herramientas de desarrollo. Adoptando este planteamiento con Veracode, Darius Radford, arquitecto de seguridad de aplicaciones del distribuidor especializado Floor & Decor, pudo obtener una visión exhaustiva de los riesgos que suponían las bibliotecas vulnerables en el software de la empresa: «Pudimos averiguar rápidamente los lugares donde se ejecutaba Log4j y solucionar el problema». Trey Tunnel, responsable de seguridad de la información de Floor & Decor, añadió: «Nuestros clientes son nuestra principal prioridad. Con Veracode tenemos la confianza de que nuestro software es seguro y, lo que es más importante, que nuestros clientes confían en que nuestro software es seguro».
El resumen del estado de la seguridad del software v12 de Veracode para el sector minorista y hostelero puede descargarse aquí y el informe completo está disponible aquí.
* Future Publishing, Exploring the impact of rising inflation, junio de 2022, https://go.future-advertising.com/Rising-Inflation-Research-Insights.html
** Dot Digital, Black Friday Stats:Everything You Need to Know (actualizado en 2022), Jenna Paton, 20 de septiembre de 2022, https://dotdigital.com/blog/black-friday-cyber-monday-stats/
*** IBM Security y The Ponemon Institute, Cost of a Data Breach Report 2022, julio de 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ
Acerca del informe sobre el estado de la seguridad del software
El informe sobre el estado de la seguridad del software (SoSS) v12 de Veracode analizó los datos históricos completos de los servicios y clientes de Veracode. Esto representa más de medio millón de aplicaciones (592 720) que empleaban todos los tipos de análisis, más de un millón de análisis dinámicos (1 034 855), más de cinco millones de análisis estáticos (5 137 882) y más de 18 millones de análisis de composición de software (18 473 203). Con todos estos análisis se obtuvieron 42 millones de resultados estáticos en bruto, 3,5 millones de resultados dinámicos en bruto y seis millones de resultados de SCA en bruto.
Los datos incluyen empresas grandes y pequeñas, proveedores comerciales de software, subcontratistas de software y proyectos de código abierto. En la mayoría de los análisis, cada aplicación se incluyó una sola vez, aunque se presentase varias veces conforme se solucionaban vulnerabilidades y se cargaban versiones nuevas.
Acerca de Veracode
Veracode es un importante socio de seguridad de aplicaciones para la creación de software seguro, reducir el riesgo de fallos de seguridad y aumentar la seguridad y la productividad de los equipos de desarrollo. Por tanto, las empresas que trabajan con Veracode pueden hacer avanzar su negocio y el mundo. Con su combinación de automatización de procesos, integraciones, velocidad y capacidad de respuesta, Veracode ayuda a las empresas a obtener resultados precisos y fiables para centrar sus esfuerzos en solucionar las posibles vulnerabilidades y no solo en encontrarlas. Más información en www.veracode.com, en el blog de Veracode y en Twitter.
Copyright © 2022 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. El resto de los nombres de productos, marcas y logotipos pertenecen a sus titulares correspondientes. Las demás marcas aquí mencionadas son propiedad de sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Contacts
Katy Gwilliam
[email protected]
