CA Veracode: un 88% de apps Java tienen brechas de seguridad

El último informe de CA Veracode (esta firma es ahora parte de por CA Technologies y está especializada en seguridad de software) concluye que el 88% de las aplicaciones Java son susceptibles de sufrir ataques generalizados debido a defectos conocidos de seguridad y es que, menos del 28% de las organizaciones llevan a cabo un control activo de los componentes que podrían conducir a brechas de seguridad.

El informe titulado “2017 State of Software Security Report” ha podido comprobar que muchas aplicaciones Java cuentan con, al menos, una falla que las hace susceptibles a ataques. En los últimos 12 meses se han registrado numerosas brechas en aplicaciones Java causadas por vulnerabilidades generalizadas de componentes de código abierto o comerciales, afirma el informe.

“El uso universal de componentes en el desarrollo de aplicaciones conlleva que cuando se descubre una vulnerabilidad en un componente, dicha vulnerabilidad tiene el potencial de impactar en miles de aplicaciones, haciendo que sean vulnerables con un único exploit”, señala Chris Wysopal, CTO en CA Veracode.

El estudio muestra también que el 53,3% de las aplicaciones Java están basadas en una versión vulnerable de componentes de las Commons Collections. A día de hoy, el número de aplicaciones que utilizan versiones vulnerables es el mismo que había en 2016. El uso de componentes en el desarrollo de aplicaciones es práctica común ya que permite a los desarrolladores reutilizar código funcional y acelerar así la entrega de software.

Según Wysopal “los equipos de desarrollo no van a dejar de usar componentes, ni tampoco deberían hacerlo. Pero cuando un exploit se hace disponible, el tiempo es oro. Los componentes de código abierto y de terceros no son necesariamente menos seguros que el código desarrollado internamente, pero es importante mantener un inventario actualizado de las versiones que se utilizan de cada componente”.

El uso de componentes vulnerables es una de las tendencias más preocupantes en cuanto a seguridad de las aplicaciones analizadas en el estudio. Por ejemplo, según los datos del estudio, mientras que muchas organizaciones dan prioridad a solventar las vulnerabilidades más peligrosas, algunas aún tienen dificultades para remediar eficientemente los problemas de software