È ancora poco chiaro come giudicare l’esito del sondaggio indetto da Veracode e riportato da DevClass dal titolo “State of Software Security 2025: A New View of Maturity“. È poco chiaro poiché il giudizio oscilla ampiamente tra “bella scoperta” e “molto interessante“.
È interessante infatti considerare la percentuale di applicazioni che sono allineate all’Open Web Application Security Project ed alla sua Top 10. Adeguarsi all’OWASP significa aderire ad uno standard di sviluppo delle applicazioni web unanimemente riconosciuto come valido per stabilire quanto un’applicazione sia sicura, ed il report rivela come queste applicazioni siano incrementate dal 32% del 2020 al 52% del 2025.
Ma sembra anche essere l’unica bella notizia riportata nel documento. La percentuale di applicazioni contenenti falle di sicurezza ritenute gravi è salita del 181% ed il numero di giorni necessario alla loro risoluzione è salito del 47%.
Qui arriviamo alla parte “bella scoperta“. Il 70% di queste falle di sicurezza arriva dall’utilizzo di codice di terze parti:
Un dato che potrebbe essere giudicato banale, ma che racchiude in sé quanto l’implementazione moderna del codice sia fortemente dipendente da librerie esterne. È praticamente impossibile oggigiorno trovare applicazioni costruite da zero ed autosufficienti, che non utilizzino cioè codice esterno.
Le ragioni sono molteplici. In primis il fatto di non dover reinventare costantemente la ruota, ma poi anche la questione relativa all’adeguamento ad uno standard. È difficile, infatti, che qualche sviluppatore Python implementi da zero i moduli di connessione http e non usi libcurl.
Il problema è che non sempre si usa codice di terze parti della qualità di libcurl (che è addirittura CVE Numbering Authority) e lì nascono i veri problemi, evidenziati dai numeri del report.
È sensibile infatti il dato che indica come il 74,2% delle organizzazioni sia afflitta da debiti di sicurezza e la metà di queste siano di classe “critica”.
Insomma, la strada verso lo shift-left è ancora lunga e tortuosa. Come scrivevamo poche settimane fa, se è vero che l’adozione dell’approccio DevSecOps sta crescendo, la formazione degli sviluppatori non sta tenendo il passo.
Questo report lo certifica: stiamo sbagliando qualcosa.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)