Il debito di sicurezza è un problema diffuso e critico per le imprese dell’area EMEA. Per colmarlo e prevenire futuri attacchi e violazioni è necessario concentrarsi sulla riduzione delle falle critiche, mediante l’adozione di soluzioni di remediation avanzate che fanno uso dell'AI e migliorando la gestione del codice di terze parti. I dati emergono dal report State of Software Security 2024 per l’area EMEA pubblicato da Veracode, che fotografa una situazione già critica, con tendenze preoccupanti.

Il debito di sicurezza cresce

Secondo i dati del report, il 68% delle aziende nell’area EMEA è alle prese con un certo grado di debito di sicurezza. La dicitura identifica vulnerabilità che persistono non risolte per oltre un anno, accumulandosi e aumentando il rischio di compromissioni. Il dato più allarmante è che quasi la metà di queste aziende presenta falle di gravità critica, il che le rende particolarmente vulnerabili ad attacchi gravi.

Uno degli aspetti più rilevanti che emerge dal report è la provenienza delle vulnerabilità. L’84% del debito di sicurezza riguarda il codice sviluppato internamente (primo livello), ma l'80% del debito di sicurezza critico deriva dal codice di terze parti. Questo dato è particolarmente significativo per l'area EMEA, dove il debito critico associato al codice esterno supera di gran lunga la media globale (65%). Ciò sottolinea come le aziende della nostra regione debbano concentrarsi non solo sulla protezione del proprio codice, ma anche sul controllo delle dipendenze esterne.

La lentezza nell'affrontare le problematiche sopra indicate è un altro aspetto cruciale del report. Le aziende dell'area EMEA che utilizzano metodi manuali per la correzione delle falle nel codice di terze parti impiegano in media 19 mesi per risolvere le vulnerabilità, un tempo quasi doppio rispetto ai 9 mesi richiesti per il codice sviluppato internamente. Questo rallentamento compromette ulteriormente la capacità di rispondere tempestivamente agli attacchi.

Focus sull'area EMEA e sulle priorità

Un altro aspetto che emerge dal report riguarda la distribuzione delle vulnerabilità. Il 36% delle applicazioni nell’area EMEA è afflitta da un debito di sicurezza, una percentuale leggermente inferiore rispetto al dato globale, che però non dev’essere motivo di festeggiamenti. Infatti, le vulnerabilità non risolte si stanno progressivamente accumulando e solo il 5,6% delle applicazioni è del tutto privo di falle.

Una questione di età

Il report traccia una linea nemmeno troppo sottile fra l'epoca in cui sono state sviluppate le applicazioni e il debito di sicurezza. Non sorprende che le applicazioni più datate, con codice meno aggiornato, abbiano più falle critiche rispetto a quelle più recenti. Il guaio è che per rimediare le aziende dovrebbero rivolgere maggiore attenzione alla manutenzione del codice esistente, invece concentrano sforzi e attenzioni sullo sviluppo di nuove funzionalità.

I linguaggi di programmazione più predisposti ad accumulare debiti di sicurezzaUn’ultima considerazione riguarda poi i linguaggi di programmazione: alcuni mostrano una maggiore predisposizione all'accumulo di debito di sicurezza rispetto ad altri. È un aspetto spesso sottovalutato che dovrebbe invece suggerire alle aziende l'adozione di strumenti specifici per la sicurezza del software, tarati proprio sui linguaggi utilizzati.