«La exigencia sobre una aplicación segura es algo fundamental que toda empresa consumidora de aplicaciones tanto standard como a medida, debería de exigir, con informes detallados sobre las pruebas realizadas en las aplicaciones adquiridas,antes de salir al mercado, esto daría a las empresas desarrolladoras de software un valor añadido en relación a la calidad del producto desarrollado.»
Traducción Google:
Los equipos de seguridad deben centrarse en mantener sus bibliotecas de código abierto al día después de un estudio reciente encontró que casi el 97 por ciento de las aplicaciones Java evaluados en el estudio contenía al menos un componente con una vulnerabilidad conocida.
El informe se basa en las posturas de riesgo reales de aplicación, extraídos de un análisis a nivel de código y encontraron que podían existir algunas vulnerabilidades en los productos durante años antes de ser descubierto en parcheado ya que los investigadores encontraron que el componente vulnerable más común que ocurre en Java fue lanzado en julio de 2013, pero no fue identificado y parcheado hasta noviembre de 2015, de acuerdo con el estado anual de software de seguridadInforme realizado por Veracode.
Se observó el error en más de un 30 por ciento de las aplicaciones Java, mientras que la segunda vulnerabilidad más común fue observador en más de un 12 por ciento de todas las aplicaciones Java. Los investigadores también encontraron que el 60 por ciento de las aplicaciones no políticas de seguridad sobre la primera exploración, y que el cuartil superior o empresas fijan casi 70 por ciento más de vulnerabilidades que la empresa media.
«Nos sorprendió la vulnerabilidad continua de aplicaciones en la industria de la salud verticales, que tenía la segunda tasa más baja de calidad inicial pero la tasa fija más baja y la más alta prevalencia de vulnerabilidades de gestión de cifrado y credenciales», dijo Veracode Director Senior de Marketing de Producto Tim Jarrett SCMagazine.com a través de los comentarios enviados por correo electrónico «. Dada la sensibilidad de los datos de salud protegidos por las aplicaciones sanitarias, esto es una preocupación seria.»
Jarret añadió que los datos muestran la creciente necesidad de gestionar el riesgo de aplicación como un riesgo empresarial porque las empresas de todos los sectores ofrecen más y más valor a través de software de una forma u otra.
Para ayudar a combatir estas amenazas, los investigadores sostienen que dando a los desarrolladores más potencia permite mejorar la seguridad de que les permite utilizar técnicas tales como las tecnologías de sandboxing para escanear aplicaciones previas a las pruebas de control que han demostrado que las tasas de resolución doble, según el informe.
Entrenador de remediación y la formación de codificación segura son útiles para los desarrolladores que pueden no estar familiarizados con los conceptos AppSec y podría ayudar a los desarrolladores capturan vulnerabilidades en el propio código del cliente que todavía no tienen un parche disponible, pero que son responsabilidad del desarrollador para parchear, dijo Jarrett .
También recomiendan que los usuarios planean sobre el uso de varias tecnologías de varias pruebas, la integración de la seguridad de aplicaciones en el ciclo de desarrollo, y entrenar en los conceptos de desarrollo seguras.
Latest posts by Jose Miguel (see all)
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
- Curso Básico de Ciberseguridad. Módulo 2 - 23 noviembre, 2024
- Episodio 6: Implementar la seguridad en conexiones remotas. - 22 noviembre, 2024