El intratable problema de la inseguridad del software

Este informe de Veracode [PDF] recoge los datos de 18 meses de análisis de 4.835 aplicaciones de su plataforma de servicios en la nube.

A diferencia de una encuesta, los datos proceden de análisis de aplicaciones reales y del análisis de miles de millones de líneas de código. Se representan múltiples metodologías de prueba (binario estático, dinámico y manual), en el espectro completo de tipos de aplicaciones (componentes, librerías compartidas, aplicaciones web o no), muchos lenguajes de programación (incluyendo Java, C/C + +,. NET, ColdFusion y PHP), ya sea software desarrollado internamente, Open Source, tercerizado o comercial.

El informe examina primero la calidad de las aplicaciones por tipo de proveedor en la cadena de suministro de software y luego se examina la seguridad de las aplicaciones, según el lenguaje, la industria y el tipo de aplicación.

Algunos resultados que se extraen:

• Cuando se probó por primera vez, más de la mitad (58%) de las aplicaciones no cumplen con la calidad aceptable de seguridad, y más de 8 de cada 10 aplicaciones web no cumplían con el OWASP Top 10.
• La prevalencia del Cross-site Scripting se mantiene constante en el tiempo, mientras que la inyección SQL indica una tendencia ligeramente decreciente
• La mayoría de los desarrolladores tienen una gran necesidad de formación adicional de seguridad sobre aplicaciones
• En  la industria del software, incluyendo los productos y servicios de seguridad, existen lagunas importantes referidas a la seguridad
• Si bien el análisis estático encuentra fallas más importantes que el dinámico, ambas técnicas son necesarios para una cobertura completa

Es más que recomendable la lectura completa del informe y también puedes conocer los cursos de seguridad en el desarrollo de aplicaciones brindados por Segu-Info o conocer más sobre el tema en la próxima charla gratuita de OWASP Latamtour.

Fuente: Cristian de la Redacción de Segu-Info