Wed. Aug 17th, 2022

Duncan es un editor galardonado con más de 20 años de experiencia en periodismo. Después de haber iniciado su carrera de periodismo tecnológico como editor de Arabian Computer News en Dubái, desde entonces ha editado una variedad de publicaciones de tecnología y marketing digital, incluidas Computer Business Review, TechWeekEurope, Figaro Digital, Digit y Marketing Gazette.


ShiftLeft, un innovador en pruebas de seguridad de aplicaciones automatizadas, ha publicado su segundo Informe anual de progreso de AppSec que documenta las tendencias críticas en la seguridad de las aplicaciones y cómo las organizaciones están cambiando la seguridad a la izquierda para hacer frente al volumen cada vez mayor de ataques y vulnerabilidades reveladas. El informe cubre las tendencias año tras año y los hallazgos generales analizados a partir de millones de escaneos el año pasado utilizando la plataforma ShiftLeft CORE en aplicaciones que ejecutan numerosos lenguajes de programación en diferentes arquitecturas tecnológicas, incluidas configuraciones nativas en la nube, locales e híbridas.

Los hallazgos clave del informe incluyen:

Reducción del 97 % en las vulnerabilidades del software de código abierto (OSS): al identificar y priorizar las vulnerabilidades del OSS que son realmente atacables, los equipos y desarrolladores de AppSec solucionan lo que importa, envían el código más rápido y, de hecho, mejoran la seguridad con menos y mejores correcciones.
Reducción interanual del 37 % en el tiempo medio de remediación (MTTR): el enfoque láser en la capacidad de ataque y la reducción de falsos positivos permite a los desarrolladores realizar correcciones más rápido y reducir el MTTR. Esto mejora la postura de seguridad y reduce la probabilidad de ataques al reducir el tiempo de exposición de las vulnerabilidades. De hecho, ShiftLeft descubrió que los equipos de desarrollo estaban solucionando el 76 % de las vulnerabilidades atacables en dos sprints (12 días).
Tiempo medio de análisis de 90 segundos: los análisis rápidos permiten a los equipos escanear con más frecuencia, lo que mejora la cobertura de seguridad para aplicaciones de iteración rápida y permite una mejor cobertura de aplicaciones muy grandes que antes requerían horas o días para escanear.
Aumento significativo en la frecuencia de escaneo: escaneos más rápidos, inserción automatizada en canalizaciones de CI y mayor cobertura de escaneo en más idiomas, también permitieron que los equipos de AppSec pasaran del escaneo de vulnerabilidades mensual o semanal a escaneos diarios. El informe registró un aumento del 68 % año tras año en los escaneos diarios.
Exposición vulnerable estimada de Log4J en solo el 4 %: debido a la naturaleza omnipresente y generalizada de Log4J, muchos equipos de seguridad de aplicaciones tuvieron dificultades para identificar todas las instancias de la biblioteca de registro en su pila de aplicaciones. Las instancias ocultas y anidadas (en archivos JAR, por ejemplo) causaron problemas particulares. ShiftLeft analizó los escaneos en busca de la vulnerabilidad Log4J y mapeó los flujos de datos reales a través de las aplicaciones de producción al combinar los resultados del análisis de Pruebas de seguridad de aplicaciones estáticas (SAST) y el Análisis de composición de software (SCA). El análisis encontró que solo el 4% de todas las instancias de Log4J eran vulnerables. Los equipos que tenían esta información ahorraron meses de tiempo perdido buscando y reparando instancias de Log4J que representaban poco o ningún riesgo. El informe destaca cómo cambiar la seguridad de las aplicaciones para involucrar a los desarrolladores más temprano en el ciclo de vida del desarrollo de software da como resultado soluciones más rápidas y menos energía desperdiciada al priorizar y corregir vulnerabilidades que representan poco o ningún riesgo. El informe también subraya la importancia de un enfoque tecnológico holístico que integre tanto SAST como SCA para proporcionar una imagen clara de la capacidad de ataque y la subsiguiente priorización de las soluciones de seguridad para reducir el enfoque en solucionar lo que importa. Manish Gupta, CEO de ShiftLeft, dijo: “Según nuestros hallazgos, dos de cada tres equipos de desarrollo están literalmente perdiendo el tiempo en el 97 % de las correcciones que no son atacables y brindan pocos beneficios de seguridad. “Por otro lado, los equipos que cambian la seguridad a la izquierda y se enfocan en la capacidad de ataque envían un código más seguro, con más frecuencia. Esto claramente mejora la seguridad de sus aplicaciones al mismo tiempo que mejora la productividad del desarrollador y la velocidad del producto”.

¿Está buscando renovar su estrategia de transformación digital? Obtenga más información sobre la Semana de la Transformación Digital que se lleva a cabo en Ámsterdam, California y Londres, y descubra estrategias clave para que sus esfuerzos digitales sean un éxito.
Etiquetas: Apps, seguridad, vulnerabilidades

By Erica Flores

Enamorada de la tecnología. Apasionada de la velocidad que la información puede adquirir en este mundo cambiante. Actualmente residiendo en Barcelona.