Artículo: Open source products could greatly increase digital risks, report. 

«La exigencia sobre una aplicación segura es algo fundamental que toda empresa consumidora de aplicaciones tanto standard como a medida, debería de exigir, con informes detallados sobre las pruebas realizadas en las aplicaciones adquiridas,antes de salir al mercado, esto daría a las empresas desarrolladoras de software un valor añadido en relación a la calidad del producto desarrollado.»

http://www.scmagazine.com/report-finds-companies-should-manage-application-risks-as-an-enterprise-risks/article/561981/

Traducción Google:

Los equipos de seguridad deben centrarse en mantener sus bibliotecas de código abierto al día después de un estudio reciente encontró que casi el 97 por ciento de las aplicaciones Java evaluados en el estudio contenía al menos un componente con una vulnerabilidad conocida.

El informe se basa en las posturas de riesgo reales de aplicación, extraídos de un análisis a nivel de código y encontraron que podían existir algunas vulnerabilidades en los productos durante años antes de ser descubierto en parcheado ya que los investigadores encontraron que el componente vulnerable más común que ocurre en Java fue lanzado en julio de 2013, pero no fue identificado y parcheado hasta noviembre de 2015, de acuerdo con el estado anual de software de seguridadInforme realizado por Veracode.

Se observó el error en más de un 30 por ciento de las aplicaciones Java, mientras que la segunda vulnerabilidad más común fue observador en más de un 12 por ciento de todas las aplicaciones Java. Los investigadores también encontraron que el 60 por ciento de las aplicaciones no políticas de seguridad sobre la primera exploración, y que el cuartil superior o empresas fijan casi 70 por ciento más de vulnerabilidades que la empresa media.

«Nos sorprendió la vulnerabilidad continua de aplicaciones en la industria de la salud verticales, que tenía la segunda tasa más baja de calidad inicial pero la tasa fija más baja y la más alta prevalencia de vulnerabilidades de gestión de cifrado y credenciales», dijo Veracode Director Senior de Marketing de Producto Tim Jarrett SCMagazine.com a través de los comentarios enviados por correo electrónico «. Dada la sensibilidad de los datos de salud protegidos por las aplicaciones sanitarias, esto es una preocupación seria.»

Jarret añadió que los datos muestran la creciente necesidad de gestionar el riesgo de aplicación como un riesgo empresarial porque las empresas de todos los sectores ofrecen más y más valor a través de software de una forma u otra.

Para ayudar a combatir estas amenazas, los investigadores sostienen que dando a los desarrolladores más potencia permite mejorar la seguridad de que les permite utilizar técnicas tales como las tecnologías de sandboxing para escanear aplicaciones previas a las pruebas de control que han demostrado que las tasas de resolución doble, según el informe.

 Entrenador de remediación y la formación de codificación segura son útiles para los desarrolladores que pueden no estar familiarizados con los conceptos AppSec y podría ayudar a los desarrolladores capturan vulnerabilidades en el propio código del cliente que todavía no tienen un parche disponible, pero que son responsabilidad del desarrollador para parchear, dijo Jarrett .

También recomiendan que los usuarios planean sobre el uso de varias tecnologías de varias pruebas, la integración de la seguridad de aplicaciones en el ciclo de desarrollo, y entrenar en los conceptos de desarrollo seguras.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.