mercoledì 22 settembre 2010

Veracode e la sicurezza delle applicazioni


Veracode, società leader nel campo della sicurezza delle applicazioni, ha rilasciato oggi un interessante documento dal titolo "State of Software Security Report". In questo report sono raccolti i risultati statistici dei loro assessment di sicurezza svolti negli ultimi diciotto mesi su poco meno di 3000 applicazioni.

Ed i risultati non sono confortanti...


Più della metà del software analizzato non aveva un livello accettabile di sicurezza e, come evidenziato nella figura in alto, circa 8 applicazioni su 10 non erano conformi alla OWASP Top 10

Il Cross-site scripting (XSS) rimane la vulnerabilità più diffusa (da ricordare che ieri Twitter è stato attaccato con successo proprio grazie ad vulnerabilità di questo tipo) 

Le Applicazioni sviluppate in outsourcing hanno evidenziato le maggiori carenze di sicurezza 

Gli sviluppatori hanno risolto facilmente le vulnerabilità riscontrate 

I fornitori di Cloud/applicazioni Web sono stati i più gettonati negli assessment di terza parte 

Se preso singolarmente, nessun metodo di test della sicurezza delle applicazioni si è rivelato sufficientemente adeguato

Nei settori bancario, assicurativo e finanziario, la sicurezza delle applicazioni non è risultata commisurata alle criticità del business

Tutto ciò comporta che i soggetti che utilizzano queste applicazioni siano fortemente esposti a possibili perdite di immagine e di introiti derivanti da interruzioni delle attività commerciali causate da attacchi alle loro applicazioni. Soprattutto quando il software è sviluppato da fornitori esterni. In questi casi infatti, Veracode ha trovato che nel 81% dei casi, le applicazioni hanno fallito gli assessment di sicurezza. 

Insomma, una situazione davvero poco edificante, soprattutto tenendo conto del fatto che la maggior parte del campione di soggetti che hanno svolto gli assessment erano società finanziarie...

almeno quelle però si sono poste il problema... pensiamo a tutte quelle che non hanno ancora fatto delle verifiche serie...


Nessun commento:

Posta un commento

http://www.wikio.it