La sicurezza del codice: quello che sanno i professionisti della sicurezza applicativa
La tradizionale sicurezza delle applicazioni rappresenta ancora il punto fermo della strategia aziendale, ma negli ultimi tempi il mercato si è evoluto ed espanso fino a includere la scoperta delle API , i containers e Infrastructure as code, solo per citare alcuni esempi. Per sapere quanto il mercato stia affrontando questi problemi e investendo in essi, rispetto a chi è ancora radicato sulle tattiche tradizionali, Fortify ha recentemente collaborato con DarkReading per intervistare professionisti e sviluppatori di AppSec per analizzare le principali nuove sfide che questo panorama in continua evoluzione ha creato.
È emerso, tra i risultati, che il ciclo di vita dello sviluppo del software sta diventando sempre più complesso e che le minacce in un ambiente multicloud continuano a proliferare. Di conseguenza, si evidenzia una situazione in cui molte organizzazioni sono abbastanza avanzate nella loro maturità AppSec, mentre altre sono ancora al punto di partenza per quanto riguarda l’implementazione di DevSecOps.
In breve, la strada verso la maturità AppSec non è uno sprint, ma una maratona.
Oltre ai risultati principali dell’indagine, il rapporto è suddiviso in quattro sezioni:
- Il percorso di maturità dell’AppSec: Nella maggior parte delle organizzazioni c’è molto spazio per la maturità e la crescita, ma i problemi specifici e le aree di attenzione variano a seconda delle dimensioni dell’organizzazione.
- Le sfide dell’implementazione: Un’ampia gamma di sfide è fonte di preoccupazione per le aziende che tentano di accelerare il percorso verso la maturità. Questo è specialmente vero per le organizzazioni di maggiori dimensioni: nessuno dei problemi di sicurezza elencati è stato citato da più del 29% degli intervistati. Ciò evidenzia la crescente complessità delle sfide da affrontare e sottolinea il valore di affidarsi a un unico partner in possesso di una profonda esperienza.
- I fattori che influenzano l’adozione degli strumenti: Nel tentativo di superare le sfide e di progredire nella maturità dell’AppSec, molte aziende si avvalgono degli strumenti più recenti disponibili e danno priorità all’infrastruttura cloud.
- Monitorare e valutare il successo: Quando si tratta di tracciare il successo della sicurezza e di riflettere sui risultati, le organizzazioni sono più preoccupate dei falsi negativi e positivi piuttosto che di individuare vulnerabilità reali che non hanno il tempo di risolvere. Tuttavia, questo fenomeno è più comune nelle PMI che nelle grandi organizzazioni.
Per saperne di più scaricate gratuitamente il Report 2023 State of Code Security oppure guardate il Webinar On-demand sulla sicurezza del codice in cui vengono esaminati tutti i punti chiave, le sfide dell’implementazione, i fattori che influenzano l’adozione degli strumenti e gli spunti di riflessione forniti dal Report. All’interno di questo Webinar, Martin Hell, Security Strategist di Debricked, parte di OpenText Cybersecurity, condivide anche la sua ricerca sullo stato della sicurezza open-source.
