Roma, 24 set – Le aziende di software e i ricercatori di sicurezza sono quasi unanimemente d’accordo nel pensare che rivelare le vulnerabilità per migliorare la sicurezza software rappresenti un vantaggio per tutti. E’ quanto emerge da uno studio di Veracode, fornitore leader di test per la sicurezza delle applicazioni (AST), che ha rilasciato i risultati di una ricerca globale sul tema denominato “Exploring Coordinated Disclosure”. In particolare, lo studio analizza comportamenti, politiche e aspettative associate alle modalità in cui organizzazioni e ricercatori di sicurezza esterni collaborano in caso di identificazione di vulnerabilità.
Il 90% dei rispondenti, infatti, ha confermato che la divulgazione di vulnerabilità “ha universalmente lo scopo più ampio di migliorare il modo in cui il software viene sviluppato, utilizzato e corretto”. Riconoscere che le vulnerabilità non affrontate determinino l’enorme rischio di conseguenze negative per gli interessi di imprese, consumatori e persino per la stabilità economica globale, rappresenta un punto di svolta nell’industria software.
L’indagine ha rilevato che negli ultimi 12 mesi oltre un terzo delle aziende ha ricevuto un report di divulgazione delle vulnerabilità non richiesto e questo rappresenta un’opportunità per collaborare con la parte che si occupa della segnalazione per correggerle e quindi divulgarle, migliorando così la sicurezza generale. Per le organizzazioni che hanno ricevuto il report non richiesto, il 90% delle vulnerabilità sono state divulgate in modo coordinato tra i ricercatori di sicurezza e l’azienda. Questa è la prova di un cambiamento significativo nella mentalità a dimostrazione che lavorare in modo collaborativo è l’approccio più efficace.
Lo studio mostra inoltre che i ricercatori sono generalmente ragionevoli e motivati dal desiderio di migliorare la sicurezza per il bene comune. Il 57% dei ricercatori si aspetta che gli venga comunicato quando una vulnerabilità è stata riparata, mentre il 47% si aspetta aggiornamenti regolari sulla correzione e il 37% si aspetta di convalidare la correzione. Solo il 18% degli intervistati si aspetta di essere pagato e il 16% si aspetta il riconoscimento della propria scoperta.
Non sempre le aspettative in merito ai tempi di riparazione sono realistiche. I dati mostrano che dopo aver segnalato una vulnerabilità, il 65% dei ricercatori di sicurezza si aspetta una correzione in meno di 60 giorni. Questo lasso temporale potrebbe essere troppo impellente e persino irrealistico se confrontato con il report più recente Veracode State of Software Security volume 9, che ha rilevato che oltre il 70% di tutte le falle rimane per un mese dopo la scoperta e per tre mesi quasi il 55%. Inoltre, dallo studio emerge che le organizzazioni sono impegnate a correggere e divulgare in modo responsabile le falle e, contestualmente, devono avere un tempo ragionevole per farlo.
“L’allineamento che lo studio rivela è molto positivo”, ha affermato Chris Wysopal, Chief Technology Officer and co-founder di Veracode, “la sfida, tuttavia, è che le politiche di divulgazione delle vulnerabilità sono estremamente incoerenti. Se i ricercatori non sono sicuri su come procedere quando rilevano una vulnerabilità, le organizzazioni rimangono esposte a minacce dando ai criminali la possibilità di sfruttare queste vulnerabilità”.