Le vulnerabilità ad alto rischio registrano un'impennata del 36% su base annua, mentre il debito di sicurezza critico cresce del 20%, segnalando una crisi crescente nella sicurezza del software

BURLINGTON, Mass.: Veracode, il leader globale nella gestione del rischio delle applicazioni, oggi ha pubblicato il suo State of Software Security Report 2026, che evidenzia un divario crescente tra la velocità con cui le organizzazioni producono software e la rapidità con cui riescono a proteggerlo. Il rapporto ha scoperto che l'82 percento delle aziende attualmente ha un debito di sicurezza, un aumento dell'11 percento rispetto all'anno precedente, mentre il 60 percento di queste aziende ha un debito di sicurezza definito “critico”, ossia un accumulo di vulnerabilità abbastanza gravi da causare danni catastrofici a un'azienda se sfruttate. Il rapporto consiglia l'adozione di una strategia “Protect, Prioritize, and Prove” (proteggere, priorizzare e provare) per ridurre il rischio in modo significativo nel 2026 e oltre.

Giunto alla 16a edizione annuale, il report di punta di Veracode ha analizzato 1,6 milioni di applicazioni uniche che comprendono aziende, fornitori di software commerciali, fornitori di software in outsourcing e progetti open-source a livello globale.

I risultati del 2026 evidenziano un divario fondamentale tra la velocità di sviluppo e la capacità di riparazione. Mentre sono aumentate le capacità di rilevamento, l'accumulo di vulnerabilità irrisolte sta crescendo più rapidamente delle capacità dei team di eliminarle. Questa tendenza è aggravata dall'impennata del 36 percento su base annua nelle vulnerabilità ad alto rischio, classificate come difetti sia gravi che altamente sfruttabili.

“La velocità dello sviluppo del software è aumentata in maniera esponenziale, e questo significa che la rapidità della creazione di falle nel software sta superando l'attuale capacità di riparazione”, ha dichiarato Chris Wysopal, Chief Security Evangelist di Veracode. “Nonostante i guadagni marginali negli indici di riparazione, il debito di sicurezza sta diventando un problema molto più grande per molte aziende. Oggi che l'intelligenza artificiale ha portato la velocità di sviluppo del software a livelli senza precedenti, le aziende devono assicurarsi di fare scelte deliberate e intelligenti per arginare l'ondata di falle nella sicurezza e ridurre al minimo i rischi per l'azienda”.

I punti salienti del rapporto State of Software Security 2026

Lo studio di quest'anno evidenzia i temi principali che definiscono la maturità della sicurezza del software in un mondo in cui lo sviluppo basato sull'IA, l'ampliamento delle superfici di attacco e i cicli di rilascio sempre più rapidi si scontrano con la capacità di riparazione.

• Cresce il debito di sicurezza critico: L'aumento del debito di sicurezza critico del 20 percento su base annua rivela che l'accumulo di vulnerabilità rischiose più vecchie di un anno sta superando la capacità di riparazione, segnalando la necessità urgente di ripensare la gestione dei backlog.
• Le vulnerabilità ad alto rischio richiedono un nuovo tipo di priorizzazione: Un relativo aumento del 36 percento nelle falle di sicurezza classificate sia “gravi” sia “altamente sfruttabili” richiede un passaggio urgente da una generica valutazione della gravità alla priorizzazione basata sulla potenzialità di un attacco concreto.
• Il rilevamento sta lievemente migliorando; la riparazione no: Mentre le aziende riescono a identificare un numero inferiore di falle nella sicurezza e migliorano le percentuali di rilevamento, i dati rivelano una sforzo persistente per ripararle in modo sufficientemente rapido da chiudere la finestra di esposizione che si allarga.
• I componenti open-source comportano un rischio enorme: Le librerie di terza parti e le dipendenze open-source rappresentano il 66 percento delle vulnerabilità più pericolose e più durature: un promemoria che l'igiene delle terze parti deve ancora fare molta strada, nonostante alcuni segni di miglioramento.
• L'impatto dell'IA: Lo sviluppo dell'intelligenza artificiale sta introducendo nuovi modelli di vulnerabilità ad alto rischio di grandi dimensioni, mentre la riparazione basata sull'IA sta iniziando a offrire un percorso credibile verso la chiusura del divario.

Approfondimenti e raccomandazioni attuabili

Per combattere questi rischi, Veracode consiglia un passaggio dal semplice rilevamento a un modello più strategico di Priorizzare, Proteggere e Provare. Questo approccio consente alle aziende di priorizzare i propri “gioielli”, ovvero i sistemi e le applicazioni più preziosi che contengono dati sensibili, forniscono servizi essenziali o incidono sulle operazioni in generale.

“Siamo a un punto di svolta in cui correre più veloci sul tapis roulant della gestione delle vulnerabilità non è più una strategia praticabile”, ha concluso Wysopal. “Il successo richiede un cambiamento intenzionale. I team devono priorizzare l'11,3 percento delle falle che costituiscono un pericolo concreto, proteggere le loro risorse critiche attraverso la riparazione automatica e provare che il loro livello di sicurezza risponde ai rigorosi requisiti della conformità odierna. Non è una questione di riparare tutto, ma di gestire il debito di sicurezza riducendo al minimo i suoi rischi più gravi”.

Lo State of Software Security Report annuale di Veracode è uno degli studi più completi e di più lunga data del settore sullo scenario della gestione dei rischi applicativi.

Il report completo 2026 è disponibile sul sito web di Veracode. Partecipate al webinar il 26 febbraio alle 11 orario di New York per sentire gli autori del rapporto di quest'anno e ascoltare un'analisi approfondita dei risultati principali dello studio.

Informazioni sulla relazione State of Software Security

La relazione Veracode State of Software Security si basa sull'analisi delle applicazioni testate tramite l'analisi statica, l'analisi dinamica, l'analisi della composizione del software e/o i test di penetrazione manuali attraverso la piattaforma di Veracode su base cloud. Il set di dati di quest'anno comprende 1,6 milioni di applicazioni uniche che generano 141,3 milioni di risultati grezzi; 115,6 milioni dall'analisi statica, 22,1 milioni dall'analisi della composizione del software e 3,6 milioni dall'analisi dinamica. Questi dati provengono da aziende di ogni dimensione, fornitori di software commerciale, outsourcer di software e progetti open-source in tutto il mondo.

Informazioni su Veracode

Veracode è un leader globale nella gestione del rischio applicativo per l'era dell'AI. Basata su trilioni di linee di scansioni di codici e su un motore proprietario di recupero assistito dall'AI, la piattaforma Veracode offre sicurezza software adattiva ed è la scelta a cui si affidano le organizzazioni di tutto il mondo per realizzare e mantenere la sicurezza del software, dalla creazione di codici all'implementazione sul cloud. Migliaia dei team di sviluppo e sicurezza più importanti al mondo utilizzano Veracode ogni secondo di ogni giorno per ottenere visibilità accurata e fruibile sui rischi utilizzabili, rimediare in tempo reale alle vulnerabilità e ridurre i problemi di sicurezza su larga scala. Veracode è una società pluripremiata che offre capacità in grado di tutelare l'intero ciclo di vita di sviluppo del software grazie a prodotti come Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, Malicious Package Detection, Package Firewall e Penetration Testing.

Per saperne di più, visitare www.veracode.com, il blog di Veracode e seguire l'azienda su LinkedIn e X.

Copyright © 2026 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio registrato di Veracode, Inc. negli Stati Uniti e potrebbe essere registrato in altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o loghi sono di proprietà dei rispettivi titolari. Tutti gli altri marchi citati nel presente documento sono di proprietà dei rispettivi titolari.

Fonte: Business Wire